Hallo zusammen,

ich hatte hier (http://www.sonyuserforum.de/forum/showthread.php?t=55989)u.a. berichtet, dass es einen Hackerangriff auf meine Seiten gab.
Die Quelle des Angriffs war ich wohl selber. :oops:

HijackThis hatte mir heute morgen den ntos.exe Virus gemeldet. Nach einiger Recherche wohl ein ziemlich übler Geselle. Die übliche Empfehlung war denn auch meistens, System neu aufsetzen und sämtliche Passwörter ändern.

Hier (http://www.pcfreunde.de/forum/thema-11630-3/problem-win32-agent-pz.html) habe ich dann möglicherweise eine Methode gefunden, um den Virus loszuwerden (letzte Seite, letzter Beitrag). Jedenfalls wird nun nichts mehr gefunden, auch nicht nach Neustart. Ob es das wirklich war?

Ich habe allerdings keine Ahnung, wie ich mir den Kerl eingefangen habe. Ich habe noch nie in meinem Leben irgendwelche unbekannten mail-Anhänge oder sonstiges geöffnet.

Was ich vermute. Vorgestern habe ich versehentlich eine mir bekannte Seite mit dem IE statt mit Firefox besucht. Beim aufrufen der Seite wurde aber der IE sofort wieder geschlossen.
Beim nächsten Versuch, dann mit dem Firefox, kam dann nur die Warnmeldung "Als attackierend gemeldete Website!" und die Seite wurde natürlich nicht geladen. Ob ich mir den Kerl da vorher mit dem IE eingefangen habe?
Jedenfalls werde ich zukünftig die Finger vom IE lassen.

Wenn dein IE der 7er ist und du die Updates des Microsoft Browsers bzw. Windoof immer auf den neuesten Stand hältst, ist auch der IE inzwischen ein ziemlich sicherer und schneller Browser.
http://winfuture.de/UpdatePack

Einmal im Monat die Update-Packs drüber lassen und alles ist roger.
Damit fahr ich schon lang gut und bewege mich auch mal auf nicht ganz sauberen Seiten.

Aber einfangen kann man sich immer was, die Möglichkeit besteht natürlich.
Wobei ein anständiger Virenschutz das natürlich verhindern sollte.

Ob der Virus noch da ist prüfst du am Besten mit einem Scan des Virenschutzes und des Spybot S&D.

LG

Wenn dein IE der 7er ist und du die Updates des Microsoft Browsers bzw. Windoof immer auf den neuesten Stand hältst,
Normalerweise benutze ich halt Firefox. Von daher ist mein IE garantiert nicht aktuell.


Ob der Virus noch da ist prüfst du am Besten mit einem Scan des Virenschutzes und des Spybot S&D.

Mein Antivir hatte den Virus nicht erkannt, obwohl er ihn eigentlich kennen sollte. Nach Update auf das Premiumpaket wurde aber meine Seite als infiziert gemeldet. So bin ich eigentlich erstmals dahinter gekommen, dass etwas nicht stimmt.

Spybot S&D und HijackThis geben jedenfalls nun keinen Alarm mehr und auch meine Seite ist wohl wieder sauber.
Da hoffe ich mal, dass dies auch so bleibt.

Ich benutze meist auch den Firefox.
Aber es gibt immer noch Momente, in denen ich froh bin, dass ich noch den IE hab, weil der FF eben nicht einwandfrei funzt.
Bei diesen Gelegenheiten sollte der IE eben aktuell sein und mit den Winfuture Update Packs ist das auch kein Aufwand.

LG

Ich benutze meist auch den Firefox.
Aber es gibt immer noch Momente, in denen ich froh bin, dass ich noch den IE hab, weil der FF eben nicht einwandfrei funzt.
Bisschen OT, aber ich möchte doch kurz darauf hinweisen, dass der FF immer noch wesentlich standardkonformer ist als der IE. Wenn also im FF irgendwas nicht funzt, dann ist es höchstwahrscheinlich eine auf den IE bzw. dessen nicht standardkonformes Verhalten optimierte Website. Es ist dann also die Website, die nicht funzt, nicht der FF.

Auch wenn die Website das Problem ist.
Solange der IE der "Quasi Stadard" im Netz ist und viele Seiten eben auf den IE hin entwickelt werden, ist es nie verkehrt einen aktuellen IE auf der Platte zu haben.

In 99% der Fälle zieh ich den FF sicher vor.
Aber das 1% gibt es eben immer noch, wo er eben nicht tut.

LG

Man sollte ferner bedenken, dass Windows für viele Netzwerk-relevante Routinen auf Code zurückgreift, der Teil der Internet-Explorer Installation ist. Ebenso verhält es sich mit vielen Programmen von Drittherstellern, die auf das Internet zugreifen.
D.h. dass man im ungünstigsten Fall seinen Rechner indirekt durch eine veraltete IE Version kompromittiert bekommt, obwohl man den IE selber niemals gestartet hat.
Man muss nicht unbedingt auf die aktuellste Version des IE aufrüsten, man sollte aber immer sämtliche sicherheitsrelevanten Updates installieren. Sollte noch jemand Windows 2000 einsetzen und noch den dabei mitgelieferten IE 5.x auf dem System haben, so ist ein Update auf IE 6 aber dringend anzuraten.

Ich benutze meist auch den Firefox.
Aber es gibt immer noch Momente, in denen ich froh bin, dass ich noch den IE hab, weil der FF eben nicht einwandfrei funzt.
Bei diesen Gelegenheiten sollte der IE eben aktuell sein und mit den Winfuture Update Packs ist das auch kein Aufwand.

LG

https://addons.mozilla.org/de/firefox/addon/1419

Das ist richtig, Ingo, IETab zeigt die Seite mit dem IE gerendert im entsprechenden Tab an und ist auf PCs auch eine meiner liebsten AddOns. Die Erweiterung hält aber den IE nicht automatisch auf dem aktuellen Stand, macht also den eigenen PC damit möglicherweise unbemerkt unsicherer, als man mit der Installation des FF eigentlich beabsichtigte ;)

Nein, je nachdem, wo man sich im Internet überall herumtreibt oder noch besser formuliert, sobald man sich im Internet bewegt, gehört es zu den Selbstverständlichkeiten eines Internet-Nutzers, mit aktuellen Komponenten und Betriebssystemen zu arbeiten. Jede noch so kleine Lücke wird früher oder später gnadenlos ausgenutzt - man erinnere sich nur an den Blaster-Virus...

LG, Rainer

Es gibt immer mal wieder Tests von IT-Experten, wie lange es dauert, bis ein frisch installiertes und ungepatchtes Windows Betriebssystem nach Verbindungsaufbau zum Internet (Dial-Up, kein Router mit NAT oder externe Firewall) ohne jedwede Aktion des Nutzers vom Internet aus gehackt wird.
Extremste Messungen kommen auf unter drei Minuten, realistische Schätzungen besagten dass es selten mehr als ne halbe bis ganze Stunde dauert.
Es ist also blauäugig, zu hoffen dass ein frisch installiertes Windows die erforderlichen Updates schneller runterlädt als es dauert bis der noch unsichere Rechner gehackt wird. :flop:

Man tut also gut daran, ein frisch installiertes Windows zumindest schon vorab mit dem letzten Service Pack zu versorgen, bevor man es online lässt. Idealerweise auch schon vorab von einem anderen PC aus den Installer eines brauchbaren Antivirus Programms (frisch!) herunterladen, per USB Stick übertragen und auf dem neuen PC installieren.
Verfügt man nicht über einen Internet-Zugang über Router mit eingebauter Firewall, also nur über ein reines DSL Modem oder gar ISDN oder analog Dial-Up, dann sollte man unbedingt auf das erstklassige Windows Offline Update (http://www.heise.de/software/download/ct_offline_update/38170) Projekt vom Heise Verlag (d't Magazin) zurückgreifen!
(Bei Dial-Ups tut man aus Kosten/Zeitgründen eh gut daran, die Updates mit dem c't offline Update von einem schnell angebundenen Rechner aus herunterzuladen und auf CD/DVD zu bannen)

Hilfe, sch...., es geht schon wieder los.

Gerade meldet mein Antvir:
In der Datei 'C:\System Volume Information\_restore{04C95EB7-D603-4FD6-8484-157B3FE895C2}\RP952\A0068792.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden.

HijackThis findet aber nichts Auffälliges.

Hast du schonmal (zusätzlich) Spybot Search & Destroy (http://www.safer-networking.org/de/download/index.html) versucht?

Ansonsten wenn man den Verdacht hat, dass sich möglicherweise was auf der Platte tummelt:

- Antivir von originaler Quelle neu ziehen und neu installieren
- Update fahren
- Rechner neu Booten und im abgesicherten Modus(!) hochfahren
- Komplettscan laufen lassen (ggf. auch den vom Spybot)

So einige Viren benutzen Stealth- und Rootkit-Technologien mit denen sie sich wenn der Rechner erstmal normal hochgefahren ist recht effektiv vor Virenscannern verbergen können.
Im abgesicherten Modus ist das schon etwas schwieriger.

Einer der besten Viren-Killer den ich kenne ist Dr. Web "CureIT" (http://freedrweb.com/cureit/). Das Programm ist ein kostenfreier Stand-Alone Virenscanner und -beseitiger. Im Gegensatz zu anderen Programmen bringt es keinen Viren-Echtzeitschutz mit sondern beschränkt sich einzig auf das Entfernen von Viren. Der Vorteil ist, das es nicht installiert werden muss, sondern z.B. direkt von einem USB Stick aus gestartet werden kann. Man sollte dazu natürlich vor dem Einsatz die jeweils aktuellste Version frisch downloaden (von einem sauberen PC aus vorzugsweise).
Auch hier ist für den Einsatz der abgesicherten Modus von Windows keine schlechte Idee.

Absolute Sicherheit bringt eigentlich nur ein externer Scanner der von CD gebootet wird, wie z.B. das sehr gute Knoppicillin (http://de.wikipedia.org/wiki/Knoppicillin).
Damit kommt man eigentlich noch jedem Virus bei.


PS: C:\System Volume Information\_restore ist ein Windows-Systemverzeichnis für die automatische Systemwiederherstellung. Darin speichert Windows regelmäßig und z.B. bei Programminstallationen Kopien der wichtigsten Systemdateien incl Registry und dergleichen ab. Die Meldung vom Antivir besagt eigentlich nix anderes, dass dein Windows von deinem Virus eine Sicherheitskopie angelegt hat. Nett von ihm, oder?
Um das loszuwerden mach einen Rechtsklick auf "Arbeitsplatz" auf dem Desktop und geh auf "Eigenschaften". Dort findest du dann einen Karteireiter "Systemwiederherstellung". Dort machst du einen Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" und klickst OK.
Danach einmal die Kiste neu booten und Antivir Komplettscan laufen lassen. Danach sollte die Kopie weg sein. Hinterher die Systemwiederherstellung wieder anmachen!
Achtung: Dadurch gehen alle alten Systemwiederherstellungspunkte flöten. Wenn die Kiste ansonsten klaglos tut, dann ist das aber eigentlich nicht weiter tragisch. Die Wiederherstellungspunkte sind dazu da, die Kiste wieder flottzumachen wenn nach irgend einer Config-Veränderung plötzlich nix mehr geht. Dann stellt man einen alten Zustand wieder her und die Kiste sollte wieder laufen.
Wenn du das jetzt machen würdest, dann hättest du den Virus aus der Sicherung wieder drin im System, deswegen weg mit dem Backup.

Hast du schonmal (zusätzlich) Spybot Search & Destroy (http://www.safer-networking.org/de/download/index.html) versucht?
Hatte ich vergessen zu erwähnen, der findet auch nichts.


- Antivir von originaler Quelle neu ziehen und neu installieren
- Update fahren

Antivir habe ich neu in der Premiumversion und wurde gerade erst upgedatet.


- Komplettscan laufen lassen (ggf. auch den vom Spybot)
läuft gerade

Ich denke, mit deinen restlichen Tipps werde ich mich dann morgen mal befassen. Hört sich jedenfalls sehr hilfreich an. :top:
Auf der Arbeit habe ich auch einen sauberen PC (denke ich wenigstens). :roll:

Mal ein paar Dateien mit denen dieses eklige vieh verknüpft sein kann, resp. die es erzeugt.

Quelle: research.sunbelt-software.com (http://research.sunbelt-software.com/threatdisplay.aspx?name=Trojan.Crypt.XPACK.Gen&threatid=205140)

%SYSTEM%\ ybitcfej.exe
_photo2.com
~.exe
~ninstall.exe
02.exe
0x57.exe
1[1].exe
1[5].exe
1028d.exe
109ee4ehpee4ea.exe
10cfaa4hpfaa4d.exe
1188981.exe
17114.exe
1aa2032hp2032d.exe
2.exe
201[1].exe
2505.exe
25058.exe
29656.exe
3.exe
3076z.dll
34_0.exe
4nickse9.exe
76029_5831470_MediaTubeCodec.exe
76033_6888456_dvdcodec.exe
76035_5725553_dvdcodec.exe
76035_5985112_dvdcodec.exe
76046_8293518_1.exe
96492ww.exe
9ts7kf.exe
9txll3.exe
aaaamonb.exe
accwizk.dll
admparseh.dll
adsntp.dll
adsnww.dll
ajgnwzor.exe
alg2k.exe
algc.exe
AlrtDrv.dll
ap4kg.exe
b.exe
bootsrv.dll
braviax.exe
braviax1.exe
Buffoon.exe
c:\ documents and settings\ all users\ application data\ whiforwv\ avsbmvkj.exe
ca5kg.exe
CbEvtSvc.exe
cdnprh.dll
cert[1].exe
codec.exe
cripqdgd.exe
csiq.exe
csmss.exe
dnsclient.dll
dvdcodec.exe
dyvwfmxi.exe
ebqluxyl.dll
eesp.exe
erqlytej.exe
exgxsdwd.exe
f.exe
fasddf.exe
febsxmdw.exe
file[1].exe
file152.exe
file290.exe
file585.exe
fmnihevs.exe
gtyfh.exe
guczxovm.exe
hidqxivw.exe
hkrohwts.exe
hlyknf.exe
hufu.exe
ic.exe
ICQ_7.exe
idwfevir.exe
iexpiore.exe
iexplorer.exe
iidgpgmj.exe
image__.exe
install.exe
ivqb.exe
jnspuhuk.exe
judalcju.dll
kdkcz.exe
KernelComponent.dll
kjczglcl.exe
ktknmjgz.exe
last.exe
last2.exe
ldr1_274.exe
ldrss2[1].exe
load[1].exe
lutkfwlk.exe
lwzkduzi.exe
m.exe
m00.exe
mhzuhlib.exe
mian1.exe
msd.exe
ntndis.exe
ntos.exe
obuvcnav.exe
od3mdi.dll
ojde.exe
opps.exe
pdoh.exe
pnxh.exe
qfmscpvr.exe
rkwqlbmz.exe
services.exe
servp10.exe
servp2.exe
servp3.exe
servp4.exe
servp6.exe
servp7.exe
servp8.exe
servp9.exe
sjgnmvwl.exe
spearsbritney.com
svchost.exe
svcos[1].exe
sysbqzr.exe
syseuqo.exe
syshpmz.exe
sysntoi.exe
sysrtlr.exe
tavo.exe
tmp.exe
tspous.exe
ttaa.exe
twkt.exe
virusmsn.com
vpmbfktp.exe
vzqj.exe
winlogon.exe
wtes.exe
wzababiz.exe
xbahei.exe
xdtfiqgr.exe
xep_bot.exe
xojqhqjk.exe
xpre.exe
XQcoP2rR2W.exe
xrun.exe
yt.exe
yzzosbeu.exe
zip.dll
zojipsfi.exe
zvla.exe

Habe jetzt erst Deinen Nachtrag gelesen.

Systemwiederherstellung kenne ich und habe die auch schon gelegentlich benutzt.
Da mein System ansonsten anstandslos läuft, werde ich also das backup killen.

Ich denke, mit deinen restlichen Tipps werde ich mich dann morgen mal befassen. Hört sich jedenfalls sehr hilfreich an. :top:
Auf der Arbeit habe ich auch einen sauberen PC (denke ich wenigstens). :roll:

Bitte Nachtrag zur Systemwiederherstellung beachten, habe ich erst später nachgeschoben.

Was den PC auf der Arbeit angeht... "Vertrauen ist gut..." ;)

Ansonsten: Kopf hoch, mit den richtigen Werkzeugen kriegt man eigentlich fast jeden Bösewicht weg. Ich hatte vor etlichen Monaten auf meinem damaligen Windows 2000 System einen richtig fiesen Virus (einen echten Virus, das meiste heutzutage sind ja Würmer oder Trojaner), der sich direkt in etliche legitime .EXE Files eingenistet hat. Darunter auch so 'unbedeutende' Sachen wie explorer.exe
Die befallenen .EXE Files zu löschen hätte das System endgültig zerstört. Gerettet hat mich damals "CureIT", was zu dem Zeitpunkt als einziges in der Lage war, den Virus zu entfernen und die befallenen Dateien in ihren Ursprungszustand zurückzuversetzen.
Die selbe Windows Installation hat danach noch zig Monate fehlerfrei und absolut absturzfrei ihren Dienst verrichtet bis ich sie aus Kompatibilitätsgründen durch XP ersetzen musste. Du siehst: Es besteht Hoffnung. :top:

Mal ein paar Dateien mit denen dieses eklige vieh verknüpft sein kann, resp. die es erzeugt.
Ich sehe da in Deiner Liste auch den ntos.exe. Den hatte ich ja und dachte, ihn los zu sein.
Da ist dann wohl möglicherweise doch etwas übriggeblieben und ich habe jetzt auch eine Vermutung, wieso.
Irgendwo hatte ich den Tipp gelesen, den ntos.exe durch eine Systemwiederherstellung auf einen sauberen Zeitpunkt loszuwerden. Dann liefen aber andere Programme nicht mehr und meine Freeware-Antivir-Version, die ich zu dem Zeitpunkt noch hatte, ließ sich nicht deinstallieren, was aber nötig war, um auf die Premiumversion upzudaten. Also hatte ich die Systemwiederherstellung rückgängig gemacht und dann eine andere Methode gefunden, um den Virus zu entfernen.

"Systemwiederherstellung auf allen Laufwerken deaktivieren"
Danach einmal die Kiste neu booten und Antivir Komplettscan laufen lassen.

Habe nun im abgesicherten Modus mit Antivir, Hijackthis und Spybot gescannt und es wurde nichts gefunden.:top:
Vielleicht ist ja jetzt wieder für 2 Tage Ruhe. ;)

Dann wollte ich mir noch Dr.Web CureIt! besorgen aber ich komme nicht auf die ftp-Seite.
Und sehe ich das richtig, dass ich für Knoppicillin auf die nächste c't warten muss?

Und sehe ich das richtig, dass ich für Knoppicillin auf die nächste c't warten muss?

Leider ja bzw die letzte mit Knoppicillin-CD, sofern noch lieferbar, nachbestellen.
Der Heise Verlag darf das leider nicht zum Download anbieten wegen der lizenzbehafteten Antivir-Programme die in Knoppicillin verwendet werden.

Wenn deine Scanner auf dem PC nichts mehr finden, würd ich evtl. noch 1-2 Onlinescanner einsetzen.
Panda und Kaspersky sei da empfohlen.

Weiterhin ist es nicht notwendig sich einen Virenschutz zu kaufen.
Ein sehr guter Virenschutz, welcher Echtzeitschutz und Mailscan bietet ist der Österreichische Avast. Ausserdem hat man da auch keine nervige Werbung wie beim Antivir.
Bei der Gratisversion ist allerdings eine Registration Pflicht.

LG

Wenn deine Scanner auf dem PC nichts mehr finden, würd ich evtl. noch 1-2 Onlinescanner einsetzen.
Panda und Kaspersky sei da empfohlen.
Ich habe nun mit dem Panda gecheckt und zunächst einen Riesenschock bekommen; 250 infizierte Dateien. :shock:
Die meisten Dateien sind aber wohl eher harmlos; cookies, Viren, die den IE5 betreffen und angeblich jede Menge Programme (z.B. die berühmten xxx.PDF.exe) in meinen Thunderbird-Ordnern. Wüsste zwar nicht, wann ich die bekommen habe oder sind vielleicht auch immer direkt ungesehen in meinem Spam-Ordner gelandet.
Jedenfalls habe ich mich jetzt bei Panda registriert, um diese Dinger loszuwerden. Einige der Meldungen lassen sich allerdings nur mit der kostenpflichtigen Version entfernen.

250 Dateien sind schon heftig; die meisten Scanner kennzeichnen allerdings bei einem kompletten Lauf Dateien als infiziert, die es in der Realität nicht sind. Vielleicht mal zum Prüfen bei google den namen der Datei und Merkmal Virus bzw. Panda eingeben.
Mein Scanner z.B. Clamwin findet bei mir beim kompletten Lauf so etwa 20 Dateien, die er beanstandet.
Gruß
P.S: So toll die Offline Updater auch sind, sie müssen ja auch erst mal ins Internet, um die Updates runterzuladen.
Und noch ein Rat, wenn das System sicher virenfrei ist, ein Image anlegen!!!!

Jetzt machen wir mal ernst:

-Schmeiss den Antivir runter
-Avast drauf und Updates fahren
-Systemwiederherstellung deaktivieren
-sämtliche Cookies löschen
-im Abgesicherten scannen und alles unerwünschte platt machen
-Avast weg und Antivir drauf
-scannen
-Onlinescan mit Kaspersky
-Systemwiederherstellung an

Wenn dann noch was gefunden wird weiss ich echt auch nicht mehr

LG

Zwar ist Knoppicilin nur mit der c't erhältlich. Es gibt aber auch Alternativen: z.B.: Hier (http://www.tecchannel.de/storage/backup/461110/)und dort (http://software.bild.de/ie/56600/Inside_Security_Rescue_Toolkit__Insert_).

Bei den Offlinescannern bevorzuge ich bei den free-Versionen den Antivir. Avast habe ich nach kurzer Probezeit entsorgt. Einstellungsänderungen von AVAST in anderen Programmen haben mir missfallen. Was allerdings bei Antivir m.E. fehlt ist eine Scanmöglichkeit für Netzlaufwerke. Die bringt nicht einmal die Premiumversion mit. Die Businessversion zu kaufen, sehe ich als Privatanwender nicht ein.

Der Gratisversion von Antivir fehlt IMHO auch die Scanmöglichkeit von Mails.

Und bei der Kaufversion gefällt mir Mcafee oder Kaspersky deutlich besser.

LG

Der Gratisversion von Antivir fehlt IMHO auch die Scanmöglichkeit von Mails.
Deswegen habe ich jetzt die Premiumversion und die hatte mir ja auch infizirte Dateien bei Betreten meiner Homepage gemeldet.

Im Moment läuft der Dr. Web CureIt. Hatte ich zwar gestern schon mal, aber vergessen, das im abgesicherten Modus zu machen. Und prompt hat er nun schon was gefunden (irgendwelche Sachen in System Volume Information\restore...).

Im Restore Verzeichnis sind nur Sicherheitskopien der Systemwiederherstellung (s.o.). Sofern das die einzige Fundstelle bleibt ist es nicht weiter tragisch.

Im Restore Verzeichnis sind nur Sicherheitskopien der Systemwiederherstellung (s.o.). Sofern das die einzige Fundstelle bleibt ist es nicht weiter tragisch.
Ja, weiß ich ja inzwischen.
Aber ich dachte, die hätte ich gelöscht gehabt und anschließend das System gesäubert. Wie kommen denn dann dort wieder Viren rein?

Ich glaube, so langsam werde ich paranoid. :roll:;)

Paranoid zu sein bedeutet nicht, dass sie nicht hinter dir her sind!

:mrgreen:

:itchy: :kiss:

Auch wenn die Website das Problem ist.
Solange der IE der "Quasi Stadard" im Netz ist und viele Seiten eben auf den IE hin entwickelt werden, ist es nie verkehrt einen aktuellen IE auf der Platte zu haben.


Sorry, aber der IE ist kein Quasi-Standard. Firmen, die auch etwas auf ihre Internetpraesentation halten, werden diese nicht fuer einen Browser optimieren. Das mag bei Grosskonzernen weit verbreitet sein (Osram war/ist ein trauriges Beispiel). Dennoch konnte ich bisher jede Seite mit verschiedenen Browsern vernuenftig betrachten. Und die "Optimiert fuer XYZ" Webseiten werden von mir sofort wieder geschlossen. Glaubt man den Webanalysten, so verschieben sich die Kraftverheltnisse in den letzten Monaten und Jahren deutlich zu Ungunsten des IE....kein Wunder. Wessen ausschliesslich auf Diesem laueft, hat sehr bald ein Problem...

Gruesse, meshua

Deswegen habe ich jetzt die Premiumversion und die hatte mir ja auch infizirte Dateien bei Betreten meiner Homepage gemeldet.

Im Moment läuft der Dr. Web CureIt. Hatte ich zwar gestern schon mal, aber vergessen, das im abgesicherten Modus zu machen. Und prompt hat er nun schon was gefunden (irgendwelche Sachen in System Volume Information\restore...).

Mein Senf: wenn es nicht so ernst ware, koennte ich diesen Rettungsversuchen noch etwas komisches abringen. Hier glauben User doch tatsaechlich, gegen Geld und Gute Worte ihr System mit irgendwelchem Software Hokus Polus in einen nicht kompromittierten Zustand zurueck verwandeln zu koennen. Dabei ist der Begriff "Virus" nicht sonderlich verschieden im Verhalten eines biologischen Virus. Demnach glauben scheinbar viele, dass ein Kassendoktor nicht alle Krankheiten findet. Bezahle ich ihn mit mehr Geld, nennt er mir Alle. Und schlucke ich die teure Pille, bin ich alle Krankheiten wieder los. Alles ist so, wie vor der Erkrankung. Der Vorteil in der Beseitigung eines elektronischen Viruses ist, dass man sein System sauber und neu aufsetzt [1]. Das funktioniert im wirklichen Leben (noch) nicht.

Es lohnt sich, darueber einmal nachzudenken.

[1] Help: I Got Hacked (http://www.microsoft.com/technet/community/columns/secmgmt/sm0504.mspx)

Gruesse, meshua.

So, ich glaube, ich kann vorerst Entwarnung geben und sage nochmal vielen Dank für die tolle Hilfe.
Habe zum Schluss noch Knoppixillin laufen lassen und es wurde nichts gefunden.

So, ich glaube, ich kann vorerst Entwarnung geben und sage nochmal vielen Dank für die tolle Hilfe.
Habe zum Schluss noch Knoppixillin laufen lassen und es wurde nichts gefunden.

Und das bedeutet (fuer dich) was genau? Das keine Infektion vorliegt?

Gruesse, meshua

Das hoffe ich jetzt einfach mal.

Das hoffe ich jetzt einfach mal.

Dass heisst, beim Versenden von eMails, einer Bestellung im Internet, der Angabe von persoenlichen Daten, Kreditkartennummern, Onlinebanking ... stets haettest Du den schalen Beigeschmack, dass da im Hintergrund noch mehr passiert, als du glaubst zu wissen und zu sehen. :roll:

Gruesse, meshua.

Versenden von eMails, einer Bestellung im Internet, der Angabe von persoenlichen Daten, Kreditkartennummern, Onlinebanking ...
Ich weiß nicht, worauf Du jetzt genau hinauswillst, aber nachdem ich den Virus bzw. die ersten Anzeichen entdeckt hatte, habe ich solche Dinge von diesem PC natürlich nicht mehr getätigt.
Trotzdem werde ich natürlich die nächste Zeit z.B. meine Kontobewegungen genau beobachten.

Ich weiß nicht, worauf Du jetzt genau hinauswillst ...
Du wirst dem Rechner nie mehr guten Gewissens vertrauen koennen. Kontodinge sind eine Sache. Wenn dieser Rechner in ein paar Wochen, wenn du diesen Vorfall vielleicht schon verdraengt hast, Teil eines BOT-Netzes zur Verteilung von Kinder-PRONS wird, gibt es ganz neue Probleme...ueber einen Virus und erst recht ueber eine Backdoor *kann* Zeug auf dein System gelangen, womit Du nie rechnen wuerdest. Das wollte ich damit sagen.

Gruesse, meshua

Du machst mir ja Mut.
Und was soll ich jetzt Deiner Meinung nach tun?

Du machst mir ja Mut.
Und was soll ich jetzt Deiner Meinung nach tun?

Steht in Posting #32 - inkl. Link zu Microsoft und deren Meinung hierzu. Die Loesung ist sicherlich nicht populaer, aber die Einzige, nach der du deinem Rechner/System wieder (halbwegs) vertrauen kannst.

Gruesse, meshua

Wenn ein aktuelles Knoppicillin auf der Kiste nix findet, dann ist da nix. Vor Knoppicillin kann sich kein Virus vestecken, weil Stealth- und Rootkit-Technologien bei einem extern gebooteten Virenscanner nicht greifen.
Wenn man einem PC dann immer noch nicht vertraut, dann kann man eigentlich nur noch den Stecker ziehen und bei RWE den Stromvertrag kündigen.
Totale Sicherheit wird es nie geben und wem das nicht reicht, der kann eigentlich nur noch sich ins Bett packen, die Decke über den Kopf ziehen und auf sein Ende warten.


Robert Clayton Dean: "Was haben sie gemacht?"
Brill: "Ich hab den Bau gesprengt!!!"
Robert Clayton Dean: "Wieso?"
Brill: "Weil sie telefoniert haben!!!"

Noch ein paar Fragen am Rande:

Wie gehst du ins Internet? Über einen DSL-Router oder über Dial-Up oder ein DSL-Modem?

Von letzerem ist dringend abzuraten, weil der PC dadurch direkt im Internet sichtbar wird. Ein Router mit NAT "entkoppelt" den PC sozusagen vom Internet und nur Antworten aus dem Netz auf von deinem PC initiierten Verbindungen dringen zum PC durch.
Allein schon die Präsenz eines NAT Routers macht einen Großteil aller installierter Backdoors nutzlos, weil der Hacker gar nicht zum infizierten System durchdringen kann.

Wie bist du auf den Virus aufmerksam geworden? Gab es irgendwelche seltsamen Verhaltensweisen des PCs?

Hast du Kennwörter, die du von dem PC aus in letzter Zeit benutzt hast inzwischen geändert? Letzteres ist meiner Meinung nach wirklich die wichtigste Maßnahme zum aktuellen Zeitpunkt.

Hast du Spybot Search & Destroy auf dem PC installiert?
Ganz wichtig. Und immer schön aktuell halten. Eine Funktion von Spybot SD ist, dass es Zugriff auf bekannte Malware-Seiten und Netze auf unterer Netzwerkebene unterbindet. Der überwiegende Teil von Bot-Clients und Backdoors sind bekannte Baukästen, es gibt kaum Hacker oder Script-Kiddies, die wirklich selbstgeschriebene Hintertürchen verwenden, die wenigsten haben auch wirklich genug Ahnung um sowas zu coden. Dadurch lassen sich solche Unholde mit aktuellen Schutz-Tools in aller Regel finden und entschärfen.

Natürlich ist absolute Sicherheit nur bei einem frisch installierten System gegeben. Aber auch nur so lange, bis es das erste Mal mit dem Internet verbunden wurde. Absolute Sicherheit gibt es wie gesagt nicht und selbst bei einem vorab voll durchgepatchten System mit aktuellem Antivir, installiertem Spybot, restriktiver Firewall und nur Software mit aktuellstem Update-Stand kann man nie sicher sein, dass es nicht eine Sicherheitslücke gibt, die ein Hacker bereits kennt, der Hersteller aber noch nicht.
Das wichtigste ist nach wie vor: Macht es den Übeltätern so schwer wie möglich, dann seid ihr hinreichend sicher, denn. Es gibt immer deutlich mehr Systeme die offen sind wie ein Scheunentor, weil die User einfach viel zu dämlich oder unwissend oder gleichgültig oder alles auf einmal sind, um sich um die Sicherheit ihres Systems zu kümmern. Das sind viel einfachere und lohnendere Ziele.

[...]
Allein schon die Präsenz eines NAT Routers macht einen Großteil aller installierter Backdoors nutzlos, weil der Hacker gar nicht zum infizierten System durchdringen kann.


Schon daran gedacht, dass die Verbindung auch aktiv durch den Backdoor Server initiiert werden kann - sagen wir aller 12h ein Versuch? NAT ist kein Sicherheitsfeature!


Gruesse, meshua.

Wie gehst du ins Internet? Über einen DSL-Router oder über Dial-Up oder ein DSL-Modem?
Fritz!Box 7170


Wie bist du auf den Virus aufmerksam geworden? Gab es irgendwelche seltsamen Verhaltensweisen des PCs?
Mal schauen, ob ich das und die richtige Reihenfolge noch zusammen bekomme:

Auf meiner 4images-Seite erschienen ganz oben 2 Fehlerzeilen. Ich glaube, am selben Tag hatte ich dann auch AntiVir Premium installiert. Der gab mir dann auch beim Aufrufen meiner Seiten eine Viruswarnung.
Daraufhin Quellcode angeschaut und in einigen Dateien (index.php, main.php) einen iframe entdeckt. Diesen natürlich gelöscht. Nachfrage beim Provider bestätigte mir einen Hackerangriff per ftp und diese Lücke sei nun geschlossen.

Ein paar Tage später das selbe Spiel wieder und das, obwohl ich natürlich die Passwörter geändert hatte. Diesmal waren aber noch mehr Dateien (auch html-files) betroffen, einige Dateien (ich glaube index.php, login.php, ...) waren komplett ausgetauscht und eine Seite war nicht mehr aufrufbar. Diesmal konnte mir der Provider keinen Hackerangriff bestätigen.

Da kam mir in Erinnerung, dass mein IE beim Aufrufen einer mir bekannten Seite wenige Tage zuvor von alleine wieder geschlossen wurde und Firefox eine Warnung ausgab.

Habe dann Hijackthis installiert und habe so den ntos.exe gefunden.

Killbox und Spybot S&D installiert und damit den Virus entfernt.

Mein PC selber hat die ganze Zeit keine Zicken gemacht und verhielt sich völlig unauffällig.



Hast du Kennwörter, die du von dem PC aus in letzter Zeit benutzt hast inzwischen geändert?
Ich hoffe, ich habe an alle gedacht.


Hast du Spybot Search & Destroy auf dem PC installiert?
S.o., ja.

Schon daran gedacht, dass die Verbindung auch aktiv durch den Backdoor Server initiiert werden kann - sagen wir aller 12h ein Versuch? NAT ist kein Sicherheitsfeature!

Schon klar. Sagen wir NAT ist kein Allheilmittel.

NAT hilft aber zumindest in einem Punkt absolut zuverlässig:
Bei einem neu aufgesetzten System schützt es den Rechner vom infiziert werden bis der PC alle Sicherheitspatches runtergeladen hat. Natürlich nur, wenn man bis dahin nirgends sonst im Netz rumsurft.
Trotzdem sollte man soweit möglich auf vorher runtergeladene Service Packs und Offline-Updates (-> c't Windows Offline Update) zurückgreifen.

Wie gesagt: Absolute Sicherheit gibt es nicht, man kann es den Hackern nur so schwer wie möglich machen. Auf der "Haben"-Seite kann man verbuchen, dass wie ebenfalls erwähnt über 90% aller installierten Backdoors Baukästen sind, die in der Regel von allen aktuellen Virenscannern gefunden werden. Handgemachte Backdoors sind extrem selten.


Gemeinhin gibt es drei Möglichkeiten zur Verhaltensweise in Punkto PC Sicherheit und Internet:

- Gleichgültigkeit (ganz schlechte Idee aber leider die am häufigsten praktizierte)
- Paranoia (halte ich nix von)
- Gesunde Vorsicht, Prävention und Aufmerksamkeit

Warum ich der Meinung bin, dass die Warscheinlichkeit gering ist, dass noch was im System ist, wenn mehrere Tools unabhängig von einander grünes Licht gegeben haben, auch wenn die Möglichkeit bestünde dass doch eine unbekannte Hintertür vorhanden ist habe ich dargelegt und dazu stehe ich.
Ob du nun nach so einem Virus-Angriff dein System nach bestem Wissen und mit grösstmöglicher Sorgfalt säuberst oder dein System neu aufsetzt... ob dein System in einem Vierteljahr immer noch sauber ist steht auf einem anderen Blatt und die Warscheinlichkeit dürfte sich nicht nennenswert unterscheiden.
Jeder muss selbst entscheiden, wie hoch sein Bedarf an Sicherheitsgefühl ist.

Jeder muss selbst entscheiden, wie hoch sein Bedarf an Sicherheitsgefühl ist.

Genau das ist der Punkt. Die Neuinstallation bietet immerhin Sicherheit für den Moment. In diesem speziellen Falle würde ich aber auch noch zu einem Rücksetzen der Fritzbox auf Werkseinstellungen raten, da diese auch vom PC aus kompromittiert sein kann. Die persönliche Konfiguration der Box muss dann natürlich neu erfolgen.