[yahlov]

Hallo!

Ich hatte trotz KIS2009 (Kaspersky) und SPI-Firewall im Router einen Virus... ich weiss noch nicht genau warum, vermute aber mal das war ein gemountetes .iso was ich mir von torrent geholt hab :/

Nach einigen Stunden hab ich jetzt soweit das gröbste wieder hinbekommen. Langsam ist er immer noch, aber ich kann zumindest zu meinen Daten um sie am Server zu kopiern. DER ist nämlich gsd nicht betroffen *aufholzklopf*

Jetzt hab ich aber noch Probleme..

Es steht neben der Uhrzeit "hh:mm: VIRUS ALERT!"
Dann steht bei den Sys.Eigenschaften "Registriert für: ...[Mein Name][zeil][zeil][zeil]VIRUS ALERT!"
Wenn ich auf eine FTP Site mit dem Browser gehe, kann er mir die Zeit neben der Datei nicht hinschreiben... es steht "19.10.2005 00:00: VIRUS ALERT!" die Zeit wird auch falsch angezeigt.

Sonst ist mir bis jetzt nichts aufgefallen. Der Virus oder eigentlich Malware oder so ging letztendlich mit einem Vollständigen Systemscann, dem Spybot und einem manuellen löschvorgang diverser Malware-Verzeichnisse wieder weg... wie er geheisen hat weiss ich jetzt leider nicht mehr, es war so eine Art pseudo Virenscanner der auch den Hintergrund in eine Actice-Web-Hintergrundseite wechselt

Danke schon mal im vorraus

[karli33]

Die Lösung ist einfach:

format C:

k..33

[Samstag]

Auch wenn dir deine diversen "Sicherheitsmassnahmen" offenbar vermelden, das die Malware gelöscht ist, ist die Wahrscheinlichkeit erheblich höher das die Malware immer noch da ist und weiter munter ihr Unwesen treibt. Das bestätigen ja auch die weiteren Malwaremeldungen auf deinem Rechner.
Wirklich sicher löschen kannst du ihn durch das Vernichten aller betroffenen Dateien, und das geht am besten, indem du die Festplatte und sämtliche betroffenen Sicherungsdateien löscht bzw. formatierst.
Hier auch noch ein bisschen Lesestoff dazu:
Was Microsoft zu Kompromittierung sagt und wie man sein System wieder sauber bekommt
In Deutsch.
Achso: Wenn du einen Server auf Windows-Basis hast, musst du jetzt nach deinen Kopieraktionen auch davon ausgehen das dieser befallen ist.

Dieser Beitrag wurde von Samstag bearbeitet: 29. Juli 2008 - 16:35

[yahlov]

Zitat (Samstag: 29.07.2008, 17:33)

Auch wenn dir deine diversen "Sicherheitsmassnahmen" offenbar vermelden, das die Malware gelöscht ist, ist die Wahrscheinlichkeit erheblich höher das die Malware immer noch da ist und weiter munter ihr Unwesen treibt. Das bestätigen ja auch die weiteren Malwaremeldungen auf deinem Rechner.
Wirklich sicher löschen kannst du ihn durch das Vernichten aller betroffenen Dateien, und das geht am besten, indem du die Festplatte und sämtliche betroffenen Sicherungsdateien löscht bzw. formatierst.
Hier auch noch ein bisschen Lesestoff dazu:
Was Microsoft zu Kompromittierung sagt und wie man sein System wieder sauber bekommt
In Deutsch.
Achso: Wenn du einen Server auf Windows-Basis hast, musst du jetzt nach deinen Kopieraktionen auch davon ausgehen das dieser befallen ist.

kommt drauf an, was ich kopier und wie ichs kopier - oder nicht?
per FTP und einem log file sollte das kein problem sein, weil ich genau sehe was er wirklich transferiert

[yahlov]

Zitat (m.i.s.t.e.r.x: 29.07.2008, 18:11)

auf den Arbeitsplatz mit rechts klicken und auf verwaltung gehen , auf dienste und anwendungen
dann auf dienste , und dann den Nachrichten dienst deaktivieren , dann ist ruhe mit den Käse

Das würde ich dir glauben, wäre ich nicht einer der von Haus aus nur die notwendigsten Dienste aktiviert hat... also bei mir ist Nachrichtendienst auf deaktiviert!!!

Es is von der Symbolik her auch keiner von den 4 von dir geposteten, aber sowas in der Art hatte ich, ja..


*Edit
Ich hab mal näher gegoogled und gefunden wie er aussieht und heisst..
SmitFraud

Dieser Beitrag wurde von yahlov bearbeitet: 29. Juli 2008 - 17:19

[Samstag]

Zitat (yahlov: 29.07.2008, 17:52)

kommt drauf an, was ich kopier und wie ichs kopier - oder nicht?
per FTP und einem log file sollte das kein problem sein, weil ich genau sehe was er wirklich transferiert

Nö. Wenn die Malware inzwischen den Dateinamen von dem angenommen hat, das du eh kopieren wolltest, oder sich einfach in den Code der vorhendenen Datei eingeschrieben hat, wie willst du dann erkennen das es tatsächlich die benötigte Datei war bzw. das die Datei noch nicht verändert wurde?
Hast du Checksummen aller Dateien von vor dem Befall angelegt?

[yahlov]

Zitat (Samstag: 29.07.2008, 18:44)

Nö. Wenn die Malware inzwischen den Dateinamen von dem angenommen hat, das du eh kopieren wolltest, oder sich einfach in den Code der vorhendenen Datei eingeschrieben hat, wie willst du dann erkennen das es tatsächlich die benötigte Datei war bzw. das die Datei noch nicht verändert wurde?
Hast du Checksummen aller Dateien von vor dem Befall angelegt?

Gut das ich dualboot eingerichtet hab. Gibts irgendwelche Tools für Ubuntu mit dem ich XP "säubern" kann?
Kopieren würde ich aber dann eh über Ubuntu auf den Fileserver... hoffe halt das nix in den Datein is, das wär schlecht.

Was mich sehr beschäftigt ist, wie ist der reingekommen. Firewall war immer an, Dienste waren immer aus... das einzige was mir passiert ist war bein XP-Slipstream erstellen, das ich diese vom XIB erstellte regtweak.reg ausgeführt hab.... oder eben dieses gemountete image, dass das nicht sauber war.... :/

[bb83]

dd if=/dev/null of=/dev/sd{a,b,c,d,e}

Im Ernst, pass bloss auf das du keinen Virus auf deinen Server kopierst. Mach am besten vorab einen Scan mit einer LiveCD, bevor du irgendwas kopierst

Edit:

Wenn du ein Image gemountet hast, und dein Benutzeracc. Admin Rechte hatte. Reicht eine manipulierte autorun.inf um dein Sys zu killen

Dieser Beitrag wurde von bb83 bearbeitet: 29. Juli 2008 - 19:08

[Win-Fan]

Zitat (m.i.s.t.e.r.x: 29.07.2008, 18:11)

Im Prinzip sind das pseudo Virenscanner , die über den Windows Nachrichten Dienst rein kommen
auf den Arbeitsplatz mit rechts klicken und auf verwaltung gehen , auf dienste und anwendungen
dann auf dienste , und dann den Nachrichten dienst deaktivieren , dann ist ruhe mit den Käse .

Der Nachrichtendienst wird mit ServicePack 2 schon standardmäßig deaktiviert.

[Computer]

Ich würd sagen formatieren und System sicherheitshaler einmal neu aufsetzen!

[yahlov]

Zitat (Computer: 29.07.2008, 20:58)

Ich würd sagen formatieren und System sicherheitshaler einmal neu aufsetzen!

Nur das ist nicht die Lösung. Das Problem besteht weiterhin... es beunruhigt mich sehr, dass trotz Router und kleinem Subnetz /28 und am Client befindlichem KIS mit aktuellen Updates immer noch was durchkommt.

Wie um himmelswillen geht das? Muss ich mein Verhalten am PC so stark einschränken, dass mir im Endeffekt nichts mehr bleibt? Da spar ich mir lieber das viele Geld was mich das ganze Klumpat (Hardware, Software) kostet, inkl den Laufenden kosten (Strom, Internet, Virenscanner, sonstige Programme, etc) und hab keinen ärger...