Trojaner nutzt vorh. Datenbank des MS SQL Servers?

Hallo,

Ich habe zwei Fragen:

1. Wenn Antivir einen „Fund“ „löscht“, wurde dann nur das Symptom gelöscht oder tatsächlich der Trojaner vollständig?
2. Habt Ihr schonmal davon gehört, dass Trojaner vorhandene ursprünglich vom Nutzer mal angelegte Datenbanken (Microsoft SQL Server) mitbenutzen? Falls ja, ist das ein Zeichen für einen aktiven Trojaner? Und wie kann ich den löschen?

Was passierte auf meinem Rechner?

Antivir fand bei mir heute den Trojaner TR/PSW.LdPinch.axb. Bei der Frage, was ich damit machen möchte, entschied ich mich für „löschen“. Daraufhin erschien keine Fehlermeldung und kein weiterer Hinweis. Wurde mein „Auftrag: löschen“ erfolgreich ausgeführt? Offenbar ja. Ein erneutes Scannen meiner Festplatte mittels Antivir brachte das unten folgende Ergebnis. Es enthält 33 Warnungen und keine Funde. Offenbar ist mein Rechner wieder Viren- und Trojanerfrei.

C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Der Tim\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Der Tim\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Der Tim\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Der Tim\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Programme\Microsoft SQL Server\MSSQL$INKARPRO01\Data\master.mdf
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Programme\Microsoft SQL Server\MSSQL$INKARPRO01\Data\mastlog.ldf
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Programme\Microsoft SQL Server\MSSQL$INKARPRO01\Data\model.mdf
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Programme\Microsoft SQL Server\MSSQL$INKARPRO01\Data\modellog.ldf
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Programme\Microsoft SQL Server\MSSQL$INKARPRO01\Data\tempdb.mdf
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Programme\Microsoft SQL Server\MSSQL$INKARPRO01\Data\templog.ldf
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\DEFAULT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\default.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SOFTWARE
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SYSTEM
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\Temp\Perflib_Perfdata_71c.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\Temp\ZLT05e49.TMP
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\Temp\ZLT05e4c.TMP
[WARNUNG] Die Datei konnte nicht geöffnet werden!

Nun habe ich ja eine gesunde Skepsis und glaube nicht so Recht daran, dass mein Rechner wieder sauber sein soll. Außerdem hatte ich schonmal einen Trojaner.

Eine der obigen Warnungen scheinen ja harmlos zu sein (-> google) aber im unteren Drittel stolpere ich über eine alte mal von mir angelegte Datenbank „MSSQL$INKARPRO01“ (Microsoft SQL Server) - Die hatte ich zur Zeit meines ersten Trojaners (Januar 2006) gerade intensiv genutzt und seit dem nicht mehr (aber nicht wegen das Trojaners). Nun könnte ich darin einen Zusammenhang vermuten - hat der alte Trojaner sich wieder aktiviert und nutzt nun diese alte Datenbank für seine Zwecke? Denn der letzte Zugriff auf diese Datenbank war heute (13.09.2006), aber garantiert nicht von mir selbst. Da der Zugriff auf die Datenbank bisher nur über eine Dummy-Oberfläche erfolgte (Programm: INKAR PRO), kann ich mir die Rohdaten nicht anschauen, um nachzusehen, was da so eingetragen wurde (ich wüsste auch gar nicht wie das geht, da ich nur mysql nutze). Die Datenbankdateien sind jedenfalls für den Lese- und Schreibprozess gesperrt.

Kann sich jemand vorstellen, dass das ein Indiz für einen aktiven Trojaner ist? Wie lösche ich den? Antivir kann offenbar nicht helfen.

Viele Grüße
Tim

Hallo,

1. Wenn Antivir einen „Fund“ „löscht“, wurde dann nur das
   Symptom gelöscht oder tatsächlich der Trojaner vollständig?

Antivir löscht, was es als Schädling erkennt.

2. Habt Ihr schonmal davon gehört, dass Trojaner vorhandene
   ursprünglich vom Nutzer mal angelegte Datenbanken (Microsoft
   SQL Server) mitbenutzen? Falls ja, ist das ein Zeichen für
   einen aktiven Trojaner? Und wie kann ich den löschen?

Keine Ahnung, wie und wo sich Malware einnisten kann. Bevorzugt, wo sie schwer zu finden ist.

Offenbar
ist mein Rechner wieder Viren- und Trojanerfrei.

Fehlinterpretation! Bestenfalls hast Du keine schädliche Software auf dem Rechner, die Antivir kennt. Das heißt noch nicht, daß da nicht doch noch etwas sein kann, das Antivir nicht kennt, aber das Gegenteil auch nicht.

Hast Du einen Grund anzunehmen, daß etwas nicht in Odnung ist? Dann bleibt nur, das System neu aufzusetzen. Etwas anderes, Sicheres gibt es IMHO nicht.

Gruß, Rainer

Hallo Tim

1. Wenn Antivir einen „Fund“ „löscht“, wurde dann nur das
   Symptom gelöscht oder tatsächlich der Trojaner vollständig?

Das kommt drauf an, was genau er wo findet. Wenn bleistiftsweise ein E-Mail eintrifft, das ein Attachment mitbringt, welches einen Trojaner enthält und Antivir dies erkennt und das Attachment löscht, dann ist der Trojaner vollständig gelöscht.

Ist der Trojaner aber zur Ausführung gelangt, dann stehen die Chancen ganz schlecht. Dann kann ein Virenscanner maximal Symptombekämpfung betreiben, sofern er überhaupt noch etwas tun kann, ohne vom Trojaner manipuliert bzw. abgeschossen zu werden.

2. Habt Ihr schonmal davon gehört, dass Trojaner vorhandene
   ursprünglich vom Nutzer mal angelegte Datenbanken (Microsoft
   SQL Server) mitbenutzen? Falls ja, ist das ein Zeichen für
   einen aktiven Trojaner? Und wie kann ich den löschen?

Was verstehst Du unter ‚mitbenutzen‘? Grundsätzlich ist es so, dass Malware, welche sich selber per E-Mail weiterverbreitet, heutzutage eine Vielzahl von Dateitypen nach E-Mailadressen durchsucht. Da können durchaus auch SQL-Datenbanken durchsucht werden.

Antivir fand bei mir heute den Trojaner TR/PSW.LdPinch.axb.

Wo wurde das genau gefunden?

Nun habe ich ja eine gesunde Skepsis und glaube nicht so Recht
daran, dass mein Rechner wieder sauber sein soll. Außerdem
hatte ich schonmal einen Trojaner.

Was hast Du damals gemacht?

Merke: Ein System, das von einer Malware (Virus, Wurm, Trojaner…) befallen ist (man nennt das kompromittiert), ist am zuverlässigsten dadurch zu säubern, dass das System vom Netz getrennt, flach gemacht und neu aufgesetzt wird. Da man nie genau weiss, was die Malware, die gefunden wird, so alles angestellt hat und welche Malware, die nicht erkannt wird, sonst noch auf dem System wuselt, ist eine manuelle Entfernung erstens nur mit viel Know How, zweitens mit grossem Aufwand verbunden und hat drittens den Nachteil, dass die Wahrscheinlichkeit durchaus gross ist, dass man irgendetwas übersieht…

CU
Peter

Puh, danke! Eure Antwort „Rechner neu aufsetzen“ ist ja einstimmig ausgefallen. Manchmal frage ich mich, wozu ich eine Firewall und einen Virenscanner habe - der sich noch dazu täglich aktualisiert. Die haben noch nie eine Fehlermeldung gebracht. Wofür laufen die eigentlich permanent mit? Fressen nur Ressourcen und bringen kein Ergebnis. Dass mein Rechner ab und an aus unerklärlichen Gründen stark beansprucht wurde, habe ich schon länger bemerkt. Mein Verdacht war schon damals: Virus! Wiegte mich aber mit Firewall und Virenscanner in Sicherheit. Außerdem nutze ich nur Web-Mail-Accounts ohne lokalen Client und niemals MS IE!

Zusammenfassend kann ich also sagen, dass ich den Trojaner eher bemerkt habe, als mein Virenscanner und meine Firewall - ist das nicht ein Armutszeugnis?

Grüße
Tim

Moin, tim,

Manchmal frage ich mich, wozu ich eine Firewall und einen
Virenscanner habe - der sich noch dazu täglich aktualisiert.

in der Zeit bis zum nächsten Aktualisieren kommen einige Dutzend neue Schädlinge auf den Markt.

Außerdem nutze ich nur Web-Mail-Accounts ohne
lokalen Client und niemals MS IE!

Da fehlt noch eins: Niemals als Admin surfen.

ist das nicht ein Armutszeugnis?

Schon, bringt aber ordentlich Kohle. Das ist durchaus im Interesse der Arbeitsplätze, die damit gesichert werden

Gruß Ralf

Hallo Tim

Manchmal frage ich mich, wozu ich eine Firewall und einen
Virenscanner habe - der sich noch dazu täglich aktualisiert.

Das ist eine gute Frage. Viele Leute werden daraufhin antworten ‚Ja, das braucht man unbedingt‘. Andere Leute, zu denen ich mich zähle, antworten dagegen: Virenscanner und Personal Firewalls sind nicht zwingend nötig. Sie können nur beschränkt helfen, Dein System vor Gefahren zu schützen.

Ein Virenscanner kann am ehesten mit einer Grippe-Impfung verglichen werden. Er kann vielleicht helfen, eine Infektion zu vermeiden. Hat aber eine Infektion bereits stattgefunden, kann der Virenscanner kaum mehr etwas ausrichten. Da musst Du mit anderen Mitteln kommen.

In jedem Fall sind Virenscanner und PFW nur ergänzende Werkzeuge und können eine vernünftige Konfiguration des Systems, das Einspielen von Updates in regelmässigen Abständen und generell eine gewisse Vorsicht von Dir im Umgang mit Internet, E-Mail etc. nicht ersetzen.

Zusammenfassend kann ich also sagen, dass ich den Trojaner
eher bemerkt habe, als mein Virenscanner und meine Firewall -
ist das nicht ein Armutszeugnis?

Es ist jedenfalls ein schönes Beispiel dafür, dass Virenscanner etc. keine Allheilmittel sind. Dass sie Grenzen und Schwächen haben.

CU
Peter

Hallo

1 SQL-Sever
Seit SQL Server 2000 SP3a ist das so gut wie ausgeschlossen. Vor diesem SP konnte man den DB-Administrator („SA“) ohne PW lassen. Was bei diversen MSDE (kostenloser, kleiner Bruder des SQL-Server) die tatsächlich ein Problem wurde.
Wenn auf dem Windows die notwendigen Treiber (OLE-DB / ADO) installiert sind, kann ich mit WSH Daten in die MSDE schreiben bzw. lesen.
Bei der aktuellen Version - SQL SERVER 2005 - muss der Admin ein PW haben.

2 Trojaner
2.1 offene Dateien
Die Warnungen sind plausibel. Das sind Dateien die Windows gerade exklusiv offen hat. Daher kann AntiVir sie nicht öffnen.
2.2 Sinn / Unsinn Antiviren SW / PFW
„Sicherheit“ ist ein Konzept. D.h. wie im realen Leben triffst Du gewisse Vorkehrungen (Türen abschliessen, keine Gegenstände sichtbar im Auto lassen, etc.). Damit wirkst Du der Wahrscheinlichkeit eines Vorfalles entgegen. Aber Du hast keine Garantien.

Das Fundament der Sicherheit eines Windows Betriebssytemes (XP / Win2003) sind die Berechtigungen und Benutzerkonten! Wer mit Administratorrechten seine tägliche Arbeit erledigt, hat ein massiv höheres Risiko betreffend neuer / unbekannter Gefahren („Zero Day“ Angriffe: http://www.zerodayinitiative.com/)

Auf Windows XP / 2003 / Vista bezogen sieht die Sicherung eines PC wie folgt aus:
-Installation Offline
-„default User“ kopieren und sichern
-PFW / Virenprogramm (meine Empfehlung: F-Secure / F-Prot) / Systemwiederherstellung / Backup / Erunt inst / konf.
-Administrator mit PW sichern
-Benutzer mit eingeschränkten Rechten (ohne Adminrechte) erstellen
-differenziertes Berechtigungsprofil (NTFS) für den obigen User erstellen
-Image 1 der Partition erstellen
-Online gehen
–Virenprogrmam aktualisieren
–Systemscan
–Windowsupdate.com
–wga entfernen
-Image 2 der Partition erstellen
-mit User mit eingeschränkten Rechten arbeiten.

Grüsse
Windows_Live

Meine „AGB“:
-Ms Websites sollten mit dem IE angezeigt werden
-Wer fragt, gibt auch Antwort (OK / NOK - Punkt 1, Punkt 2 …)
-Ohne Angabe wird eine Antwortzeit von 48 Std. erwartet
-„OT“ bitte über E-Mai

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Hallo,

ich danke Euch. Wenn ich jetzt auf „eingeschränkten User“ umstelle, kann ich den Trojaner auf meinem Rechner dann am Arbeiten hindern oder ist das schon zu spät und ich erreiche das wirklich nur durch eine Neuinstallation?

Gruß
Tim

Zu spät, zu spät
Hi Tim,

Wenn ich jetzt auf „eingeschränkten User“ umstelle, kann
ich den Trojaner auf meinem Rechner dann am Arbeiten hindern

nein, er ist schon da. Genauer gesagt, er ist entdeckt; wie viele tatsächlich da sind, weiß niemand.

Wenn Du als eingeschränkter User unterwegs bist, wird verhindert, dass sich Malware installiert, nur dazu braucht es Admin-Rechte. Die Ausführung verlangt keine besonderen Rechte, das darf dann jeder

oder ist das schon zu spät und ich erreiche
das wirklich nur durch eine Neuinstallation?

So ist es.

Gruß Ralf