Viren, Spyware, Datenschutz 11.250 Themen, 94.778 Beiträge

Verfolgung starten Optionen

Sind alle Computer verseucht ?

biberzahn / 9 Antworten / Baumansicht Nickles

Hallo zusammen,

ich mache das so wie viele, ich lasse den Virenscanner ab und an über das System laufen. Alles in Ordnung keine Meldung.
Jetzt will ich nur mal die Festplatte säubern und benutze "Secure Eraser".
Die gefundenen nicht mehr benötigten Dateien lösche ich auf höchster Stufe.
Und siehe da : Der Virenscanner schlägt 6 x Alarm und präsentiert mir Würmer z.B. Win32:Beagle. Die lassen sich nehme ich mal an in den Container verschieben, aber unscheinbare tmp oder jpg Dateien lassen sich nicht löschen.
Solch eine Meldung kommt gleich nachdem ich einen Virus gelöscht habe. und am Ende des Löschlaufes kommen einige 100 dieser Dateien, die sich nicht löschen lassen.

Und nun gehe ich zu Bekannten, die wie sie meinen keinen Virus auf der Platte haben und lasse den "Secure Eraser" drüberlaufen und dann löschen. Ich erlebe noch 3 x einen etwa gleichen Virenfund. Ohne dieses Programm, wäre mir das nicht aufgefallen. Übrigens am nächsten oder übernächsten Tag, läuft das Spiel genau wieder so ab. Die Würmer generieren sich sicher aus irgendwelchen nicht löschbaren Dateien neu und erst wenn sie durch das Löschenwollen aktiv werden, erkennt sie der Virenscanner.

Hat da einer eine Idee ?
Ich denke Windows auf Speicherkarte oder Stick ist noch die einzige Möglichkeit ins Netz zu gehen. Welche Programm ist dafür bitte zu empfehlen ?
Vielen Dank

bei Antwort benachrichtigen
Xdata biberzahn „Sind alle Computer verseucht ?“
Optionen

Erstens bedeutet der massive Anstieg an Viren im Internet nicht zwangläüfig einen instantanen Befall, oder einen nach Minuten, wie oft behauptet.

Hab das mit einem uralten Xp -- mit Absicht getestet.
Uralt heißt Servicepack 0, sprich null also das erste noch ganz ohne.
Nach der Installation mit einem Tool, nichtgebrauchte Dienste aus.
Firewall im Router aus*, Xp interne Internetverbindungsfirewall ICF aus.
*Nur für diesen Test.
Das Xp, die ganze Zeit am Internet. - Was man sonst nie machen sollte.
Antivir nach der Installation von Firefox installiert und per internet geupdatet.
Ebenfalls auf dem rohen ur Xp.
Danach xpantispy geladen und fast alle Häkchen gesetzt.
Bis auf einige Wenige.

Dieses Xp war einige Wochen - fast jeden Tag stundenweise am Internet.
Es ist kein nachweisbarer Virus drauf!
Natürlich nicht nur mit dem Antivir auf dem System selbst, sondern auch mit anderen Scannern von unabhängigen Bs aus getestet.

Deshalb wundert es mich wie so viele Viren auf deinem Datenträger detektiert wurden.
Ich frage mich wie manche das schaffen.

Vielleicht ist aber auch der Scanner nicht Koscher,
wenn die Anderen nie was angezeigt haben..
Entweder ist der besonders gut, oder die anderen Scanner sind, da sie auf dem zu scannenden Bs laufen, komprmittiert.
Glaube ich aber nicht.



Es muß aber klar sein, so es auch anders ausgehen kann,
und in ein paar Minuten ein Befall da ist.


Wenn aber ein Virus detektiert wird, egal ob hochaktuelles oder ein
potenziell unsichers altes.

-- Dann kann man den nicht so einfach mal löschen!

Einer kommt selten allein, auch wenn es dem Virustool gelingt diesen zu löschen kann da doch noch der Wurm drin sein.

Der Versuch ist nicht zum nachmachen gedacht, sondern um zu viel Paranoia entgegenzu wirken, wo manche dann Garnicht mehr mit Windows ins Internet gehen.
Oder mit übertriebenem Aufwand.
-- den vielleicht noch an falscher Stelle!

Dann könnte, dürfte, man gleich nur noch mit einer OpenBsd CD ins Internet gehen

bei Antwort benachrichtigen
Olaf19 Xdata „Erstens bedeutet der massive Anstieg an Viren im Internet nicht zwangläüfig...“
Optionen

Hi Xdata, FULL ACK beim Thema zu viel Paranoia...

Eine Frage zu deinem "Selbstversuch" - hätte bei einem komplett ungesicherten Windows XP nicht der Sasser- oder Blaster-Wurm durchkommen müssen? Oder sind die im Laufe der Jahre komplett ausgerottet worden?

CU
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
Xdata Olaf19 „Hi Xdata, FULL ACK beim Thema zu viel Paranoia... Eine Frage zu deinem...“
Optionen

Der Blaster oder Sasser hätte sicher noch zugeschlagen.
Aber schon mit dem von dir genannten Tool oder dem etwas kleineren win32sec.
hat er wohl schon keine Möglichkeit mehr.

Der Router ist natürlich gelaufen, nur die Interne Firewall des Routers war für den Test ausnamsweise aus.
Von der Telekom bzw. T-Online gibt es aber noch reine Modem DsL Bundles.
Ansich nicht soo gefährlich.
Nur muß dann die interne Windows Firewall unbedingt an sein, bei einem so alten Xp und einem solchen Test.
Sonst ist einer der Beiden sicher nach Minuten oder Sekunden da.

Mein Router schaltet bei jedem Neustart die interne Firewall
- aus Sicherheitsgründen wieder ein.
Ist ganz gut so!
So kann man nicht vergessen die wieder einzuschalten, falls man das Experiment vergessen hat.


Eine Userin mit einem Laptop und Vista, hat so ein Bundle nur mit Modem.
Und bis auf eine Ausnahme bisher nichts was vom Virenscanner angezeigt wurde.
Was eigentlich für Vista spricht.

Es ist aber kein Problem auch ein Xp nur mit Modem zu betreiben.
Dann darf man die ICF aber nicht ausschalten.
Und oder Xp muß Dienstemäßig gehärtet werden.
Eins auf dem aktuellen Stand muß es sowieso sein.

Der Normalfall ist aber, bevor es aktuell ist, nicht ans Internet!
Die Servicepacks also auch passiv geholt.
Erst dann das Internet anschließen.


Ganz wenige gehen glaube ich sogar noch mit dem seltenen Me, oder gar windows 98 ins Internet.
Oft mit PCs denen man noch nichtmal ein Xp andienen könnte.

bei Antwort benachrichtigen
Jokeman biberzahn „Sind alle Computer verseucht ?“
Optionen

Hey biberzahn.
Wenn dein BS. noch gelaufen ist, dann hast du den Beagle nicht. Denn die Symptome sind wie folgt;

* Die Möglichkeit, im abgesicherte Modus hochzufahren, um den Virus zu entfernen, wird abgeschaltet per Registrylöschung. (Bluescreen)
* Alle Virenscanner werden blockiert und ausgeschaltet.
* Die CPU Last wird ständig auf 100% gehalten. (Arbeiten nur noch im Taskmanager möglich)
* Die Internetverbindung wird entfernt, um auch von dieser Seite keine Maßnahmen gegen diesen Virus zuzulassen.
* Der Wurm tarnt sich mit folgenden Dateien: hldrrr.exe, hidr.exe, srosa.sys und legt nicht sichtbare Ordner an (Rootkit). Sobald ein Ordner mit einem Rootkit Tool gefunden und gelöscht wird, legt er neue an. Zusätzlich kopiert sich die Datei hldrrr.exe in diese verschiedenen versteckten Ordner, sobald versucht wird, diese zu löschen. Da es kaum möglich ist, mit Virenprogrammen alle hldrrr.exe Würmer gleichzeitig zu finden, ist ein Wiederherstellen des Systems fast ausgeschlossen.

Hast du den Beagle, dann hilft nur noch "Neuaufsatz" Denn löschst du einen, schreibt der sich an anderer Stelle neu.
Viel Glück Jogi

Wenn alle Politiker das täten, was sie mich könnten, käme ich den ganzen Tag nicht zum sitzen
bei Antwort benachrichtigen
Xdata Jokeman „Hey biberzahn. Wenn dein BS. noch gelaufen ist, dann hast du den Beagle nicht....“
Optionen

So gemein wie der sich zuerest anhört,
ist der doch endlich User-freundlicher als einer der hinterlistig unauffällig ist.

Der leistet seine fiese Arbeit, und läßt sich nichts anmerken.

Zumindest nicht mir einem Scanner der auf dem System selbst läuft.
Es soll gar welche geben die gnädigerweise? Konkurrenten rausschmeißen?

Passive Scanner mit eigenem Bs tun Not.

bei Antwort benachrichtigen
biberzahn Jokeman „Hey biberzahn. Wenn dein BS. noch gelaufen ist, dann hast du den Beagle nicht....“
Optionen

Hi Jokeman,
warum findet der scanner dann nach 2 Tagen wieder einige Beagle mit verschiedenen Endungen, aber nur wenn ich mit "Secure Eraser" reinige.
Das BS läuft sonst normal.

Geht sowas :
2 interne Festplatten und auf beide das Betriebssystem laden.
Platte 1 nur für die Browser und das Mailprogramm, Platte 2 für die Arbeitsprogramme. Aber wie komme ich dann von Betriebsystem 1 auf 2 ?

Denn es ist ja doof alle 6 Monate den Compi föllig neu zu installieren.
So brauche ich nur die mit den Browsern platt machen, bzw. diesen Virenscheiß darauf einfach ignorieren.
Kann man sich über das FTP - Programm auch was einfangen ?

Vielen Dank

bei Antwort benachrichtigen
mawe2 biberzahn „Hi Jokeman, warum findet der scanner dann nach 2 Tagen wieder einige Beagle mit...“
Optionen
Geht sowas :
2 interne Festplatten und auf beide das Betriebssystem laden.
Platte 1 nur für die Browser und das Mailprogramm, Platte 2 für die Arbeitsprogramme.

Prinzipiell geht sowas. Z.B. mit einem Umschalter, mit dem Du vor jedem Einschalten wählen kannst, ob Du Platte 1 oder 2 benutzen willst. Ist aber umständlich.

Aber wie komme ich dann von Betriebsystem 1 auf 2 ?

Nicht direkt. Du müsstest Daten über einen USB-Stick (o.ä.) zwischen Platte 1 und 2 austauschen - sehr umständlich.

Wenn Du Dich schon mit dem Gedanken beschäftigt hast, eine separate Installation für die Internet-Arbeit zu benutzen, wäre sicher die Verwendung eines virtuellen Systems für Dich interessant. Dieses virtuelle System läuft innerhalb Deines normalen Systems und kann bei Bedarf immer wieder in den Ausgangszustand (= ohne Viren!!) zurückversetzt werden.

Schau mal nach "Virtual PC", "VMWare" oder "Virtual Box".

Am besten, Du verwendest als virtuelles System dann gleich noch ein LINUX. Dann bist Du zusätzlich geschützt.

Virtuelle Systeme können mit dem Hostsystem über eine Netzwerkverbindung Daten austauschen.

Gruß, mawe2
bei Antwort benachrichtigen
Prosseco biberzahn „Sind alle Computer verseucht ?“
Optionen

Hallo biberzahn,

ich meine bei Secure Eraser

Was willst du denn Sicher loeschen ?

Hast du denn was zu verbergen ?

Noe spass bei seite.

Der beagle ladet halt viele ungemeine Freunde ein zu sein Stammtisch, um ein paar Biere zu saufen auf kosten deine Maschine und Information die du hast.

Es ist so verwunderlich das der Typ immer noch seine Runden treibt.

AffectedMicrosoft Windows 2000 Advanced Server SP1, SP2, SP3, SP4
Microsoft Windows 2000 Datacenter Server SP1, SP2, SP3, SP4
Microsoft Windows 2000 Professional SP1, SP2, SP3, SP4
Microsoft Windows 2000 Resource Kit
Microsoft Windows 2000 Server SP1, SP2, SP3, SP4
Microsoft Windows 2000 Server Japanese Edition
Microsoft Windows 2000 Terminal Services SP1, SP2, SP3, SP4
Microsoft Windows 2000 Workstation rev.2031, rev.2072, rev.2195, SP1, SP2, SP3
Microsoft Windows 95 Build 490.R6, j, SP1, SR2
Microsoft Windows 98 a, b, j, SP1
Microsoft Windows 98 With Plus! Pack
Microsoft Windows 98SE
Microsoft Windows CE 2.0, 3.0, 4.2
Microsoft Windows ME
Microsoft Windows NT 3.5, 3.5.1, 3.5.1 SP1, 3.5.1 SP2, 3.5.1 SP3, 3.5.1 SP4, 3.5.1 SP5, 3.5.1 SP5 alpha, 4.0, 4.0 alpha, 4.0 SP1, 4.0 SP1 alpha, 4.0 SP2, 4.0 SP2 alpha, 4.0 SP3, 4.0 SP3 alpha, 4.0 SP4, 4.0 SP4 alpha, 4.0 SP5, 4.0 SP5 alpha, 4.0 SP6, 4.0 SP6 alpha, 4.0 SP6a, 4.0 SP6a alpha
Microsoft Windows NT 4.0 Option Pack
Microsoft Windows NT Enterprise Server 4.0, 4.0 SP1, 4.0 SP2, 4.0 SP3, 4.0 SP4, 4.0 SP5, 4.0 SP6, 4.0 SP6a
Microsoft Windows NT Server 4.0, 4.0 SP1, 4.0 SP2, 4.0 SP3, 4.0 SP4, 4.0 SP5, 4.0 SP6, 4.0 SP6a
Microsoft Windows NT Terminal Server 4.0, 4.0 alpha, 4.0 SP1, 4.0 SP2, 4.0 SP3, 4.0 SP4, 4.0 SP5, 4.0 SP6, 4.0 SP6a
Microsoft Windows NT Workstation 4.0, 4.0 SP1, 4.0 SP2, 4.0 SP3, 4.0 SP4, 4.0 SP5, 4.0 SP6, 4.0 SP6a
Microsoft Windows Server 2003 Datacenter Edition SP1, SP1 Beta 1
Microsoft Windows Server 2003 Datacenter Edition Itanium SP1, SP1 Beta 1
Microsoft Windows Server 2003 Datacenter x64 Edition
Microsoft Windows Server 2003 Enterprise Edition SP1, SP1 Beta 1
Microsoft Windows Server 2003 Enterprise Edition Itanium SP1, SP1 Beta 1
Microsoft Windows Server 2003 Enterprise x64 Edition
Microsoft Windows Server 2003 Standard Edition SP1, SP1 Beta 1
Microsoft Windows Server 2003 Standard x64 Edition
Microsoft Windows Server 2003 Web Edition SP1, SP1 Beta 1
Microsoft Windows Vista beta
Microsoft Windows XP
Microsoft Windows XP 64-bit Edition SP1
Microsoft Windows XP 64-bit Edition Version 2003 SP1
Microsoft Windows XP Embedded SP1
Microsoft Windows XP Home SP1, SP2
Microsoft Windows XP Media Center Edition SP1, SP2
Microsoft Windows XP Professional SP1, SP2
Microsoft Windows XP Professional x64 Edition
Microsoft Windows XP Tablet PC Edition SP1, SP2

Wenn du denn fiessling behalten willst, dann blockier den TCP Port 6777, dann kann er kein E.T. Phone Home machen und er ladet niemnden mehr ein.

Nur das was ich schrieb ist ja die A Version, weil die B version sucht sich die hintertuer TCP Port 8866 deiner Firewall.

Gruss
Sascha

Das ist keine Signatur. Sondern ich putz hier nur
bei Antwort benachrichtigen
Andreas42 biberzahn „Sind alle Computer verseucht ?“
Optionen

Hi!

Ehrlich gesagt, wenn ich auf zwei Rechnern, die bisher nichts miteinander zu tun hatten (d.h. die hängen nicht in einem Netzwerk und werden nicht von der selben Person genutzt und gewartet), ein Programm installiere, dass dann Virenbefunde der installierten Virenscanner auslöst, hätte ich spontan zwei Dinge die mir durch den Kopf gehen:

1. Habe ich den Virus selbst mitgebracht?

2. Werden da Fehlalarme ausgelöst, weil das Programm etwas modifiziert?

Ich habe zu "Secure Eraser" nur Hinweise mit Google gefunden, auf ein Programm, dass den Inhalt des Papierkorbs von Windows sicher löscht (vermutlich durch mehrfaches überschreiben).
http://www.google.de/#hl=de&source=hp&q=Secure+Eraser

Nur um sicherzugehen: du hast das Tool aus sauberen Quellen heruntergeladen und installierst parallel kein zweites Programm auf den Rechnern? (Nimms bitte nicht persönlich, selbst Mainboardhersteller haben schon Viren auf den Treiber CDs ausgeliefert; da ist niemand vor sicher, ich auch nicht...)

OK, mal nachdenken: Secure Eraser ist offenbar ein Tool, das Dateien "endgültig" löschen kann, vermutlich durch mehrfaches überschreiben. Zusätzlich kann es offenbar unbenutzte Dateien suchen und diese ebenfalls löschen.

Wenn ich das Tool geschrieben hätte, dann würde ich mir wenig Arbeit machen wollen. Die unbenutzten Dateien würde ich suchen und dann einfach per Hausmittel von Windows löschen. Damit landen sie im Papierkorb und dort kann die vorhandene sichere Löschmethode sie löschen.

Beim normalen Löschen müssen die Dateien in den Papierkorb verschoben werden, dass wäre ein Schreib/Lesezugriff, bei dem der Hintergrundvirenscanner aktiv werden sollte. (Die sollten bei Schreiben, Lesen, Löschen und Kopieren von Dateien anspringen.)

Die gefundenen Viren könnten durchaus uralte Dateileichen sein, die das Tool beim ersten Start findet und dann löschen will. Dabei werden die Dateien dann vom Virenscanner gescannt und der findet sie wieder.

Viele Virenscanner haben eine Quarantäne-Funktion. Finden sie einen Virus, dann machen sie ihn unschädlich, indem sie das Starten verhindern (durch leichtes Modifizierend er Datei) und kopieren Sie in ihren Quarantäne-Ordner. Mann macht das, falsch ein Falschalarm zugeschlagen hat, dann kann man die Datei wiederherstellen.

THEORIE:

OK, was passiert falls nun das Secure Erase gerade auch die Dateien im Quarantäne-Ordner findet? Es löscht sie (= verschiebt sie in den Papierkorb). Darauf scannt der Virenscanner die Datei und findet einen Virus. Den kopiert er in den Quarantäne-Ordner. Beim nächsten Lauf findet dann Secure Eraser wieder ungenutzte Dateien im Quarantäne-Ordner...

DAS MUSS NICHT SO SEIN!

Aber dieses Szenario ist mir eingefallen, weil es das Verhalten mit der "Neugenerierung" der Virendateien erklärt.

Ich würde folgendes machen:

- prüfen ob mein Installationmedium virenfrei ist
Man muss einfach sichergehen; USB-Stick scannen? Ich muss meinen auch mal wieder scannen. (Ich nutze Ubuntu und lasse jetzt mal ClamAV drüberlaufen.)
- Im Virenscanner des Rechners prüfen, ob man die Quarantäne löschen kann
Der Virenscanner hat da sicherlich eine Funktion in seiner Oberfläche.
- beim nächsten Lauf von Secure Erase den genauen Pfad der vom Virenscanner gefundenen Dateien notieren
Das könnte Hinweise darauf geben, wo die gefundenen Viren herkommen. Auch der Dateiname könnte Rückschlüsse zulassen.

Bis dann
Andreas

Hier steht was ueber mein altes Hard- und Softwaregedoens.
bei Antwort benachrichtigen