Wiederkehrender Virus

A_Aleksander_cf7b77 · 9. November 2019 um 06:54

Hallo ihr Weisen,

Habe folgendes Problem:

Mein Bruder hatte trotz Virenscaner einen Virenbefall…
Installiert war NAV auf Win98SE incl. aller Updates
Diese Viren haben ihm NAV zerschossen, sodaß er nicht mehr funktionierte und C: total versaut, sodaß ich ihm C:, trotz Rettungsversuch mit F-Prot (über 800 Infektionen), formatieren mußte.
Auf D: sind gut 90% wichtige Daten drauf, so daß ich die Partition nicht formatieren kann. Mehrfaches Scannen im Laufe der Zeit war aber mit allen Scannern immer mit einem sauberen Ergebniss durchführbar.

Nach mehrfachen Neuinstallationen des BS und NAV bzw. AntiVir hatte mein Bruder sobald er ins Internet ging, sofort wieder Besuch bekommen.
Das ging jetzt schon 4-5 Mal so.

Vor einer Woche habe ich ihm das BS wieder einmal neu aufgesetzt und den RAS PPoE dabei vergessen… Ich also gestern Abend zu ihm hin und das ganze nachgeholt. Bis dahin konnte er NICHT ins Internet (und es war alles in bester Ordnung - keine Warnmeldungen oder sonstige Auffälligkeiten)!!!

Nach der RAS Installation und Anmeldung im Internet fing NAV gleich wieder natal.scr ab. Bisher hatte es lediglich max. 2-3 Tage gedauert, bis auch der Virenscanner seinen Dienst quittierte.

Jetzt meine Fragen:

Gibt es eine Möglichkeit, eine Datei zu haben, die
a) nicht als Virus o.ä. zu erkennen ist (weil sie selber keiner ist)?
b) den Internetzugang registriert und sich den eigentlichen Virus automatisch im Hintergrund aus dem Internet saugt?
c) Wie heißt diese Datei bzw. auf welche Merkmale muß ich achten um diese Datei(en) zu finden?
Kann ein Virus/Wurm & Co. überhaupt auch bzw. evt. nur auf weitere Partitionen ausgelegt sein, oder wird immer NUR C: betroffen/angegriffen?

Welche Möglichkeiten gibt es noch? Wer kennt dieses oder ein ähnliches Problem?

PS: Beim ersten Mal konnte ich drei W32.* sowie natal.scr und Speedy.pif ausmachen - Hatte sie mir damals aufgeschrieben, aber zwischenzeitlich wieder weggeschmissen, da ich dachte, daß wieder alles in Ordnung sei.

Danke für die Hilfe
Alex

Schorsch_de7743 · 9. November 2019 um 06:54

Gibt es eine Möglichkeit, eine Datei zu haben, die
a) nicht als Virus o.ä. zu erkennen ist (weil sie selber
keiner ist)?
b) den Internetzugang registriert und sich den eigentlichen
Virus automatisch im Hintergrund aus dem Internet saugt?
c) Wie heißt diese Datei bzw. auf welche Merkmale muß ich
achten um diese Datei(en) zu finden?

Kann ein Virus/Wurm & Co. überhaupt auch bzw. evt. nur auf
weitere Partitionen ausgelegt sein, oder wird immer NUR C:
betroffen/angegriffen?

Sowas gibt es schon. In deinem Fall dürfte dieses Programm sich Datei- und Druckerfreigabe nennen. Ich habe den schweren Verdacht, dass du in den Netzwerkeigenschaften diese Freigabe an die PPPoE-Verbindung gebunden hast.

Um dir aber Informationen von irgendwelchem weiteren Wert geben zu können, wäre es erforderlich, wenn du mal erzählst, welches Betriebssystem dein Bruder einsetzt. Und nochwas: Die Dateinamen von virenverseuchten Dateien sind i. d. R. (hier ausnahmsweise nicht) ohne jede Aussagekraft. Was wir brauchen ist der Name des Virus, der diese Datei befallen hat bzw. in dieser Datei abgelegt ist.

Gruss
Schorsch

A_Aleksander_cf7b77 · 9. November 2019 um 06:55

Sowas gibt es schon. In deinem Fall dürfte dieses Programm
sich Datei- und Druckerfreigabe nennen. Ich habe den schweren
Verdacht, dass du in den Netzwerkeigenschaften diese Freigabe
an die PPPoE-Verbindung gebunden hast.

Diese Einstellungen sind deaktiviert und NICHT freigegeben!

Um dir aber Informationen von irgendwelchem weiteren Wert
geben zu können, wäre es erforderlich, wenn du mal erzählst,
welches Betriebssystem dein Bruder einsetzt.

Das hatte ich bereits geschrieben: NAV auf Win98SE incl. aller Updates

Und nochwas: Die
Dateinamen von virenverseuchten Dateien sind i. d. R. (hier
ausnahmsweise nicht) ohne jede Aussagekraft. Was wir brauchen
ist der Name des Virus, der diese Datei befallen hat bzw. in
dieser Datei abgelegt ist.

Meinst du den Virus und die Datei die, die wir noch am suchen sind, oder die wir abfangen konnten???

Im letzteren Fall ist es der „natal.scr“ in einer Windowsdatei, die ich nicht mitgeschrieben habe (in diesem Sinne hoffe ich auf eine Wdh.)
In diesem Zusammenhang habe ich auch den W32/Opaserv.E oder so ähnlich in Erinnerung…

Hoffe es hilft dir.

Gruß Alex

Schorsch_de7743 · 9. November 2019 um 06:55

Sowas gibt es schon. In deinem Fall dürfte dieses Programm
sich Datei- und Druckerfreigabe nennen. Ich habe den schweren
Verdacht, dass du in den Netzwerkeigenschaften diese Freigabe
an die PPPoE-Verbindung gebunden hast.

Diese Einstellungen sind deaktiviert und NICHT freigegeben!

Der ‚Client für Microsoft-Netzwerke‘ auch? Lieber noch mal prüfen (s. u.).

Das hatte ich bereits geschrieben: NAV auf Win98SE incl. aller
Updates

Stimmt, das hatte ich übersehen.

Meinst du den Virus und die Datei die, die wir noch am suchen
sind, oder die wir abfangen konnten???

Ich mein schon den Namen des gefundenen Virus.

Im letzteren Fall ist es der „natal.scr“ in einer
Windowsdatei, die ich nicht mitgeschrieben habe (in diesem
Sinne hoffe ich auf eine Wdh.)
In diesem Zusammenhang habe ich auch den W32/Opaserv.E oder so
ähnlich in Erinnerung…

Die Namen passen zusammen. Wenn’s aber wirklich der Opaserv ist - nach allen mir bekannten Informationen kennt der nur zwei Verbreitungswege: Durch direkte Ausführung per Doppelklick sowie über Netzwerkfreigaben. Daher meine Frage nach der Datei- und Druckerfreigabe. Wenn der Rechner mehrere Netzwerkinterfaces hat, z. B. eins in ein lokales Netz, oder wenn du über PPPoE einen Tunnel in ein fernes LAN gelegt hat, solltest du die Freigaben auch dort prüfen. Und natürlich - soweit möglich - auch das Netz, zu dem die Verbindung besteht.

Ist der Wurm aber nicht über Freigaben auf den Rechner gekommen, dann müsste die Quelle sich per Scanner schon finden lassen. Wenn nicht auf der Festplatte, dann evtl. auf (selbstgebrannten) CDs oder anderen Datenträgern.

HTH
Schorsch