Wurm und Trojaner entdeckt

gudde47_cc0327 · 14. Dezember 2006 um 21:07

Hallo, mein Antivirus Programm eTrust hat bei mir bei der Echtzeitoption einen Wurm und einen Trojaner entdeckt und im Protokoll angezeigt. Die Dateien wurden bereinigt. Muß ich jetzt noch etwas unternehmen oder kann ich das Prüfungsprotokoll löschen? Ich habe auf der Hompage von eTrust nachgeschaut aber dort steht leider alles nur in englischer Sprache. Wer kann mir helfen?
Danke schon mal.

Hinterw_ldler_37172f · 15. Dezember 2006 um 09:10

Hallo gudde47

Hallo, mein Antivirus Programm eTrust hat bei mir bei der
Echtzeitoption einen Wurm und einen Trojaner entdeckt und im
Protokoll angezeigt. Die Dateien wurden bereinigt.

Wo wurden sie entdeckt und wie sind ihre Namen?

Muß ich jetzt noch etwas unternehmen

Du musst grundsätzlich unterscheiden ob eine Malware nur anwesend war oder schon ausgeführt wurde. Ist sie nur anwesend, dann kann sie gelöscht werden und alles ist gut. Wurde sie jedoch ausgeführt, befindet sich also in irgend einem Verzeichnis außerhalb des Browsercaches, Mailarchives oder der heruntergeladenen Datei, dann solltest du grundsätzlich von einem nicht mehr reparablen Infekt ausgehen. In diesem Fall ist diese FAQ http://faq.jors.net/virus.html die einzig gültige Anleitung.

der hinterwäldler

–
Ich kann die Argumentation einiger User nicht verstehen.
Ca. 1,5 Mio kostenlosen Vollversionen, welche zum Erstellen
eines Partitionsbackup brauchbar waren, sind in deutschen
Restmülltonnen verschwunden. Selbst in dieser Minute lässt
sich mit ein klein wenig natürlicher Intelligenz ein brauchbares
Backupsystem aus dem Internet herunterladen und zusammenstellen.
Statt dessen werden Scanner, PFWs und Removertools „En gros“
verwendet.

Hinterw_ldler_37172f · 15. Dezember 2006 um 09:19

Moin Ralf

das Protokoll wird nicht mehr benötigt.

Direkt nicht, aber man kann den Speicherort entnehmen und andere Schlüsse ziehen.

Schlimm ist jedoch, dass es Malware gelungen ist,
sich auf dem Rechner einzunisten.

Das ist ja noch gar nicht raus, aus dem Posting ist nur zu entnehmen, das es Funde gibt. Es gibt auch FPs nicht nur bei Avira!

Dichten ist angesagt, genauer gesagt abdichten http://www.comsafe.de/

Wie bitte?

der hinterwäldler

–
Nur Feiglinge sichern ihre Startpartition in einem Image.
Wahre Helden von heute stellen sich der Herausforderung
und benutzen PFWs, Scanner und Removertools.
Sie waren bis gestern damit noch sehr zufrieden.
Ich bin ein Feigling.

Hinterw_ldler_37172f · 15. Dezember 2006 um 12:45

Moin

Direkt nicht, aber man kann den Speicherort entnehmen und
andere Schlüsse ziehen.

wer ist man? Du vielleicht; ich nicht und die Fragerin wohl
auch nicht.

Meines Wissens ist der Speicherort korrekt im Protokoll vermerkt.

Das ist ja noch gar nicht raus, aus dem Posting ist nur zu
entnehmen, das es Funde gibt.

Und der Laie soll das unterscheiden können?

Sieh oben!!! Zumindest können wir hier dann die notwendigen Hinweise geben.

Es gibt auch FPs nicht nur bei Avira!

Hilf mir mal auffet Feerd, ich weiß nicht, was ein FP ist.

F alse- P osetive, also Panik verursachende Meldungen, die gar nicht existieren. Meldungen darüber gibts auch hier auf diesem Brett massenhaft. Selbst Dingens.org und IÄ7 ))) wurden schon als gefährliche Software eingestuft.

Bestimmt nicht so gut wie Dein Link (den habe ich vorhin nicht
gefunden - wieso ist der nicht in den FAQs?),

Weil es nach wie vor Leuts gibt, die sich, aus welchen Gründen auch immer, gegen Plattmachen wehren und sich beleidigt fühlen, wenn man ihnen sagt, das ihr System nicht mehr vertrauenswürdig ist. Letzteres war übrigens vor einiger Zeit der Ausgangspunkt für das Prob bei Supernature. Darum hatte ich damals für das seine nicht das geringste Verständnis. Warum sollte ich was spenden, wenn er mir auf Grund meiner Position den Zugang zu seiner Page verwehrt hat? Genauso fühlen sich einige Anwender gekränkt, wenn man sie fragt, ob sie wohl vergessen hätten, wo sich ihr Verstand befindet.

Ich habe gegen deinen Link keine Einwände. Aber er sollte nur dann gegeben werden, wenn die hiesigen Erklärungen länger werden, als das schon mal auf einer verlinkten Seite durchgekaute. Insbesondere weil sich dort ein paar Formulierungen befunden haben (oder auch noch befinden), mit denen ich mich nicht im Geringsten identifizieren kann und manchmal nur seinen Besuchszähler um jeweils 1 erhöhen.

Je mehr wir hier erzählen, desto glaubwürdiger werden unsere Argumente.

der hinterwäldler

Schorsch_de7743 · 15. Dezember 2006 um 13:23

Und der Laie soll das unterscheiden können?

Nee, aber der Laie könnte das Log in seiner Anfrage hier in wer-weiss-was wortwörtlich und ungekürzt zitieren. Dann hätten wir auch die Möglichkeit, eine qualifizierte Antwort zu geben. Sobald aber Guddsche das Log löscht, ist die Chance, mit mehr als nur überflüssigen Gemeinplätzen zu antworten, vertan.

Gruss
Schorsch

gudde47_cc0327 · 15. Dezember 2006 um 19:15

Hallo,
schon einmal Danke für die Antworten, muß ich erst einmal durchsehen (habe leider im Moment keite Zeit).

Es sind der Wurm Win32/Wukill.B und der Trojaner VBS/Starter.A.
Sie sind jetzt im Ordner für verschobene Dateien. Es wurden sofort bei den Echtzeitoptionen erkannt (habe leider nicht viel Ahnung).
Ich wollte etwas downladen und wurde gefragt ob ich es zulasse ich habe mit Ja geantwortet und nicht bemerkt, dass es die eine andere Seite war. Habe leider nicht viel Ahnung und dachte mein Antivirusprogramm reicht aus.

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Hinterw_ldler_37172f · 16. Dezember 2006 um 12:56

Hallo gudde47

durchsehen (habe leider im Moment keite Zeit).

Dann lasse deinen PC nicht ans Netz

Es sind der Wurm Win32/Wukill.B und der Trojaner
VBS/Starter.A.

Wenn ich http://www.sophos.de/security/analyses/trojstarera.html und http://www.sophos.de/security/analyses/w32wukillb.html richtig interprediere, hat dir ein uralter Trojaner eine Lücke in deinem ungepflegten IÄ ausgenutzt und den Wurm installiert. Letzterer hat daraufhin alle verfügbaren Daten in deinem System gesammelt und benutzt sie fleißig. Das ändert auch nichts an der Tatsache, das beide sich in Quarantäne befinden. Dieser Vorgang dauert nach heutigen Erkenntnissen nicht länger als 20 Sekunden.

Bei Sophos steht wörtlich: Troj/Starter-A nutzt eine Schwachstelle in einigen Versionen des Internet Explorers aus, um beliebigen Code auszuführen.
Preisfrage: Welchen unbekannten Code hat er noch ausgeführt?

Ich wollte etwas downladen und wurde gefragt ob ich es zulasse
ich habe mit Ja geantwortet und nicht bemerkt, dass es die
eine andere Seite war. Habe leider nicht viel Ahnung und
dachte mein Antivirusprogramm reicht aus.

Auf alle Fälle weist du jetzt, wie sich Schadsoftware installiert. Ein Scanner ändert daran nichts, denn du hast ausdrücklich zugestimmt. Mit einem anderen Browser wäre das nicht passiert.

Hast du etwa ernstlich angenommen, das dich eine Schadsoftware fragt: „Ich bin ein Wurm, darf ich mich installieren?“ Dein Scanner hat restlos versagt. Wo dafür die Ursache liegt, solltest du selbst am besten wissen. Fest steht, keine einzige deiner tausende sich auf dem System befindenden Dateien ist noch vertrauenswürdig. Am allerwenigsten dein Adressbuch. Dessen Inhalt wird längst anderweitig verwertet. Die einzige Möglichkeit ist in dieser FAQ beschrieben: http://faq.jors.net/virus.html Einfach zu verstehen ist sie wohl. Auch wenn es mir leid tut, es gibt keine andere Lösung.

der hinterwäldler

–
Ich kann die Argumentation einiger User nicht verstehen.
Ca. 1,5 Mio kostenlosen Vollversionen, welche zum Erstellen
eines Partitionsbackup brauchbar waren, sind in deutschen
Restmülltonnen verschwunden. Selbst in dieser Minute lässt
sich mit ein klein wenig natürlicher Intelligenz ein brauchbares
Backupsystem aus dem Internet herunterladen und zusammenstellen.
Statt dessen werden Scanner, PFWs und Removertools „En gros“
verwendet.