Hallo,
hatte diese Woche den Fall, dass ich auf einem PC diesen BKA-Virus hatte. Ist ein XP-Rechner, alle Patches aktuell installiert.
Diesen PC habe ich dann mit diesen Avira-Remove-Tool per USB-Stick entfernt, nach Anleitung von Botfrei.de.
Dabei wurden noch 11 andere Schädlinge entdeckt, was mich sehr verwunderte, hatte der PC doch den Microsoft Virenscanner gehabt.
Daher ist meine Frage, ob das jetzt einfach Zufall war, was ich eben nicht glaube, dass MSE die Viren nicht erkannt hat, oder ist MSE gar nicht so gut, wie ich bisher dachte? Vielleicht ist es nur eine Einstellungssache gewesen...
Habt ihr ähnliche Erfahrung gemacht?
Schönes Wochenende.
Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge
Moin,
meinst Du diesen hier?
http://www.computerbetrug.de/nachrichten/newsdetails/bka-trojaner-polizei-warnt-vor-erpresser-programm-im-internet-110418/
Ich nutze MSSE, zusammen mit Threatfire und wöchentlich Malewarebytes Antimalware und hatte bisher noch keinerlei Probleme. Aber kein Antivir ist perfekt.
Gruß
Maybe
Hi, er hatte ja auch keinen Virus, das war ein "Bot".
Wenn jeder Virenscanner Bots erkennen würde, brauchte es nicht so einen Aufwand.
zusammen mit Threatfire Ist auch Verhaltensbasiert, sollte man nutzen!
11 weitere Schädlinge ist relativ, da können sie dir auch "andere" Sachen killen.
Ist es zweckmäßig, neben MSE noch andere verhaltensbasierte Scanner (wie z.B. Threatfire) zu benutzen?
Bei mir hat der "Hund"(Threatfire) schon mehrmals angeschlagen, wenn ich mit "irgendwelchen" Programmen hantiert habe. Also keine Programme von außen und mir seit Jahren bekannt.
Das lässt mich zumindest vermuten, dass der "Hund" kein schlechter ist und mich auch bei Programmen von außen warnt. :-)
Hallo zurück!
hatte diese Woche den Fall, dass ich auf einem PC diesen BKA-Virus hatte. Ist ein XP-Rechner, alle Patches aktuell installiert.
Wie schaut es mit dem Browser aus, desweiteren mit installierten Plugins, waren die auch aktuell? (Zum Beispiel Java, Adobe, Flash etc.)
Kann man hier überprüfen lassen:
http://sicher-ins-netz.info/analyse/si.html
Diesen PC habe ich dann mit diesen Avira-Remove-Tool per USB-Stick entfernt, nach Anleitung von Botfrei.de.
Dabei wurden noch 11 andere Schädlinge entdeckt, was mich sehr verwunderte, hatte der PC doch den Microsoft Virenscanner gehabt.
Interessanter wäre es gewesen, wenn die genaue Bezeichnung des/der Schädlings(e) ausgelesen worden wäre, zuzüglich des Pfades, in welchem sie gefunden wurden. So hätte man herausfinden können, auf welchem Weg die Malware auf das System kommen konnte. Ein Löschen bzw. Entfernen ohne vorherige Beweisaufnahme (zumal ja auch noch weitere Malware gefunden wurde) ist nicht so gut. Ohne Beweismittel keine Analyse. Die ist aber wichtig, um die nachfolgende Frage beantworten zu können:
Daher ist meine Frage, ob das jetzt einfach Zufall war, was ich eben nicht glaube, dass MSE die Viren nicht erkannt hat, oder ist MSE gar nicht so gut, wie ich bisher dachte? Vielleicht ist es nur eine Einstellungssache gewesen...
Siehe oben!
Habt ihr ähnliche Erfahrung gemacht?
Nein!
Schönes Wochenende.
Dito.
Für den betroffenen PC empfehle ich, mittels einer Live-CD Daten zu sichern (nur Texte, Bilder, Filme, keine ausführbaren Dateien) und danach das System platt zu machen und Windows neu zu installieren. Denn durch das, was Du gemacht hast, wird der PC des- oder derjenigen nicht wieder vertrauenswürdig. Als Produktivsystem soll man so etwas nicht weiter verwenden, das ist leichtsinnig.
MfG, pema
Ich poste dir mal den Auszug aus der Log-Datei
------- Log Anfang -------
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\'
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\jashla.exe
[FUND] Ist das Trojanische Pferd TR/VBKrypt.dywd
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\3\136e6f03-78fb64e3
[0] Archivtyp: ZIP
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.G
--> myf/y/AppletX.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.G
--> myf/y/LoaderX.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/OpenStream.AE
--> myf/y/PayloadX.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/OpenStream.AD
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\34\4147d462-724e7393
[0] Archivtyp: ZIP
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.X
--> part1/kript1.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.X
--> part2/jilo2.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.AA
--> part2/jilo3.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.Z
--> part2/jilo4.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.Y
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Temp\{693E96B7-7DC7-4C64-90BA-A809BA64D28A}
[WARNUNG] Die Datei konnte nicht gelesen werden!
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Temp\{92B222BD-83BA-41F4-A402-432C9BA7F689}
[WARNUNG] Die Datei konnte nicht gelesen werden!
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\148I6H5A\readme[1].exe
[FUND] Ist das Trojanische Pferd TR/VBKrypt.dywd
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Temp\{046935E0-899A-4276-854A-7C8BE21C4E83}
[WARNUNG] Die Datei konnte nicht gelesen werden!
C:\Programme\OpenOffice.org 3\Basis\program\python-core-2.6.1\lib\test\testtar.tar
[0] Archivtyp: TAR (tape archiver)
--> gnu/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/longname
[WARNUNG] Interner Fehler!
[WARNUNG] Interner Fehler!
C:\Recycle.Bin\Recycle.Bin.exe
[FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Crypted)
Beginne mit der Suche in 'D:\'
Beginne mit der Desinfektion:
Fehler beim Erzeugen des Systemwiederherstellungspunktes: Systemfehler [997]: Überlappender E/A-Vorgang wird verarbeitet.
C:\Recycle.Bin\Recycle.Bin.exe
[FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Crypted)
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4c7627b4.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\148I6H5A\readme[1].exe
[FUND] Ist das Trojanische Pferd TR/VBKrypt.dywd
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 54e30814.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\34\4147d462-724e7393
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.Y
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 06ef5289.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\3\136e6f03-78fb64e3
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/OpenStream.AD
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 60a61d49.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\jashla.exe
[FUND] Ist das Trojanische Pferd TR/VBKrypt.dywd
[HINWEIS] Der Registrierungseintrag wurde erfolgreich entfernt.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 251d3005.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
------- Log Ende -------
Hallo!
Ein paar Sachen fallen auf:
Hinsichtlich der vielen Funde in bezug auf Java liegt es nahe, daß diese Anwendung nicht auf dem aktuellsten Stand war. Aus diesem Grund wies ich auch in meinem vorhergehenden Posting darauf hin, daß es nicht reicht, nur das System aktuell zu halten. Es gehören alle Anwendungen dazu, die Verbindung mit dem Internet aufnehmen können, also auch im Browser eingebundene Plugins, und Java ist ein solches Plugin.
Inwieweit die Anwendungen im allgemeinen auf dem aktuellsten Stand sind oder nicht, kann man über den Secunia Software Inspector herausfinden lassen, der alles auflistet. Aus diesem Grund hatte ich diesen auch verlinkt. Im Nachhinein allerdings Anwendungen upzudaten bringt nichts, das muß immer im Vorfeld geschehen. Wenn das Kind ist in den Brunnen gefallen ist, dann ist es zu spät.
Wenn ich diesen Eintrag hier sehe:
C:\Recycle.Bin\Recycle.Bin.exe
dann würde ich sogar sagen:
Game over!
Denn das sieht mir nach SpyEye aus. Macht der Nutzer des PCs zufälligerweise Online-Banking und/oder -shopping? In diesem Fall war es besonders schlecht, Löschungen vorzunehmen, denn dann kann er, sofern sich Dritte von seinem Konto bedienen, u. U. nicht mehr nachweisen, wer dafür verantwortlich ist. In solchen Fällen empfehle ich vor allen anderen Maßnahmen ein Beweissicherungsimage zu machen. Danach kann man Daten sichern und den Rechner fachgerecht plätten und das Betriebssystem neu installieren.
Bitte beantworte daher meine Frage wegen Online-Banking etc.
Gruß, pema
Ja, aber unregelmäßig und nicht sehr oft. Aber auch noch mit TAN-Liste... (Ich persönlich nutze das mTAN-Verfahren).
Die Avira-Logdatei reicht nicht als "Beweis"? Soweit ich weiß, reicht es den Banken zur Rückzahlung, wenn ein aktueller Virenscanner und Firewall installiert ist.
Auf meinem PC habe ich neben MSE und der Windows-Firewall noch Spybot S&D drauf. Hätte der den SpyEye evtl. erkannt?
Mir ist jetzt auch nicht ganz klar, wie lange der SpyEye schon drauf ist, oder ob der erst mit diesem BKA-Virus kam.
Wie kann ich so ein Image anlegen? Ich werde erst mal eine Datensicherung machen, zum Glück habe ich, als c't-Abonnement dieses Desinfec't bzw. das Ubuntu 11.04 aus den jüngsten Ausgaben.
Hi marinierter
Ja, aber unregelmäßig und nicht sehr oft. Aber auch noch mit TAN-Liste... (Ich persönlich nutze das mTAN-Verfahren).
Nicht gut, auch wenn er es nur selten gemacht hat. Lasse ihn bitte von einem sauberen PC oder mittels Live-CD alle Passwörter ändern, desweiteren die Kontoauszüge penibel kontrollieren, damit da nichts anbrennt.
Mit Deinem Hinweis hast Du recht, die Banken geben sich i. d. R. damit zufrieden, allerdings schützt das nicht davor, daß noch andere Sachen mit dem PC gemacht werden, z. B. das Verwenden der persönlichen Daten für kriminelle Handlungen, die Liste was alles möglich wäre ist endlos.
Auf meinem PC habe ich neben MSE und der Windows-Firewall noch Spybot S&D drauf. Hätte der den SpyEye evtl. erkannt?
Nein, Spybot ist eher ein Tool, um Spyware zu erkennen. Ob ein AV-Programm Malware erkennt oder nicht, hängt von vielen Dingen ab. (Z. B., ob es in der Datenbank bereits existiert), oft ist es aber so, daß Schädlinge es darauf anlegen, eben nicht so leicht gefunden zu werden, sie sind daher still und heimlich im Hintergrund aktiv und können das Abscannen ihrer selbst sowohl unterbinden als auch das Scanergebnis verfälschen.
Wie kam es überhaupt dazu, daß Du auf diesen BKA-Trojaner aufmerksam geworden bist? Was war der Anlaß, daß Du aktiv geworden ist? Das würde mich interessieren.
BTW, Du kannst Dir und Deinen Bekannten Schutzsoftware noch und nöcher installieren, sie sind nur "Beiwerk", aber kein grundlegender Schutz, abgesehen davon können sie auch Fehlalarme produzieren, das ist auch nicht so schön. Wenn das Grundgerüst nicht stimmt, kommt es trotz aktueller AV-Scanner zu Infektionen. Mit Grundgerüst meine ich das hier:
http://malte-wetz.de/wiki/pmwiki.php/De/KompromittierungUnvermeidbar sowie
http://sicher-ins-netz.info/schutz/schutz.html
Mir ist jetzt auch nicht ganz klar, wie lange der SpyEye schon drauf ist, oder ob der erst mit diesem BKA-Virus kam.
Und das ist ein unbekannter Faktor, der auch nicht ungefährlich ist, denn aufgrund dieser Tatsache weißt Du nicht, bzw. derjenige, dessen PC betroffen ist nicht, was schon alles an weiteren Schädlingen - möglicherweise - nachgeladen wurde.
Wie kann ich so ein Image anlegen? Ich werde erst mal eine Datensicherung machen, zum Glück habe ich, als c't-Abonnement dieses Desinfec't bzw. das Ubuntu 11.04 aus den jüngsten Ausgaben.
Soweit ich das recherchieren konnte, kannst Du mit dieser CD durchaus einen Scan aus einer vertrauenswürdigen Umgebung (Linux) machen, aber Malware entfernen geht auch hiermit nicht. Und für ein Image brauchst Du ein spezielles Programm wie zum Beispiel AcronisTrueImage oder Clonezilla. Ersteres ist kostenpflichtig, es sei denn, der PC-Inhaber hätte eine Maxtor oder Seagate-Festplatte, dann kannst Du es mit diesem Link machen:
http://www.chip.de/downloads/Seagate-DiscWizard_32998185.html
Oder Clonezilla nehmen. Ich hab in meinen Favoriten eine Anleitung aus einem Nachbarforum, wo dieses bebildert beschrieben ist:
http://forum.chip.de/viren-trojaner-wuermer/tr-crypt-xpack-gen-geht-weg-1293300-page5.html#post7750111
Datensicherung habe ich hier einmal beschrieben:
http://www.nickles.de/thread_cache/538816031.html#_pc
Die betreffende Person kam zu mir und sagte, dass dieser Trojaner auf dem PC ist und ich mir das ansehen solle. Er hätte eine Webseite eines Camping-Platzes aufgerufen und dann kam der Trojaner. Ich habe dann gegoogelt und nach der Anleitung von Botfrei.de das Ding und noch 10 andere entfernt.
Ich mache jetzt erst mal mit der Live-CD ein Backup und dann werde ich so ein Image anlegen, und dann die Kiste neu installieren. Da die Festplatte in zwei Partitionen geteilt ist, nehme ich nicht an, dass es reicht, nur die Windows-Partition zu formatieren.
Danke für die Info, ich war neugierig. :-)
Das mit dem Backup ist eine gute Idee, und das mit dem neu installieren auch. Denke auch daran, daß alle Wechseldatenträger, die in der Vergangenheit an der infizierten Kiste angestöpselt waren, ebenfalls unter der Live-CD formatiert bzw. gelöscht werden. Daten kannst Du vorher sichern und danach wieder auf die Sticks etc. zurückkopieren. (Wie in dem einen Beitrag von mir beschrieben)
Und ja, Du solltest alle Partitionen auflösen, neu erstellen, mit NTFS formatieren und gleich den MBR neu schreiben lassen. Auch hier habe ich gute Hilfe für Dich:
http://forum.chip.de/viren-trojaner-wuermer/faq-thinkpoint-entfernen-1443209-page2.html#post8738499 uff.
Falls Du noch fragen hast, melde Dich, viel Erfolg, Gruß, pema
Ach scheiße, ich mach heute nichts mehr an der Kiste. War unaufmerksam und hab Windows auf die D-Partition installiert und nicht auf C... :(
Windows juckt das aber nicht, ich habe es auf diversen Partitionen, sogar auf F:.
Man darf das nicht so eng sehen. ;-)
Naja, C: mit ca. 40 GB war für Windows und Programme gedacht, D: mit 120 GB für die Daten.
Das könnte auf Dauer auch knapp werden, sei froh. :-))
Richtig, Windows ist es egal, wo es installiert wird, allerdings kommt dabei zum tragen, daß die meisten Programme, die man später installieren möchte, immer C:\ als bevorzugten Pfad nehmen, hier muß man dann immer aufmerksam sein und händisch korrigieren.
Natürlich muss man aufpassen, aber sollte man das nicht immer, am PC? ;-)
Wobei viele ihre Programme ja immer auf D:\ installieren. :-))
So, die Neuinstallation ist weitgehend abgeschlossen.
Alle wichtigen Programme installiert und die Daten kopiert.
OpenOffice gleich ohne Java installiert, statt Outlook Express hat er nun Thunderbird, alle Updates drauf und MSE und Threadfire installiert.
Fehlen noch die Soundtreiber, da habe ich im Netz bisher keine gefunden und die beigelegte CD ist wohl auch gerade nicht anwesend.
Naja, mal sehen...
Danke für Eure Tipps. :)
Nun zier dich nicht so, sag schon welche? :-)
Laut SIW: Intel 80821DB (ICH4) Revision 1
Gerätemanager sagt: VEN_8086&DEV_24C5.
Auf der Intel-Webseite bin ich da nicht fündig geworden, es gab zwar aus anderen Quellen noch Ergebnisse, aber die funzten auch nicht.
Schau mal auf dieser Seite:
http://de.driverscollection.com/Search/PCI%5CVEN_8086%26DEV_24C5
Ich möchte wetten - wenn der Soundtreiber und die Treiber-CD fehlt, hast du nicht einen Mainboardtreiber nach der Installation installiert.
Welches Mainboard hast du denn?
Sollte es ein Komplett-Rechner, bzw. Notebook sein, reicht dessen genaue Bezeichnung.
Gruß
Shrek3
Ist ein Fujitsu Siemens Scaleo L. Habe mir die Treiber heute von der Webseite geladen.
Hätte gedacht, die gibt es dort nicht mehr.
Damit sind wir mit dem Thema durch, denke ich.
Vielen Dank an alle, die hier mit geholfen haben!
Moin,
Der Standardpfad ist auch in der Registry hinterlegt. Wenn man das BS auf D installiert, ist es auch D:/Programme. Ich habe es noch nicht anders erlebt.
Gruß
Maybe
Hi,
sonst hätte ich mit meinen wilden Installationen auch derbe Probleme. :-)
Stimmt wohl. Ich habe das Problem schon länger nicht mehr, da ich fast ausschließlich mit portablen Anwendungen arbeite. Diese sind unter Rocket Dock zusammengefasst. Ich starte nur das Dock und habe alles, was ich brauche. Ein Backup ist ebenfalls schnell angefertigt.
Ok, fast alles, den einige Programme (MSO etc.) muss man immer noch fest installieren.
Gruß
Maybe
musste heute den Mist bei nem Onkel vom PC runterprügeln...
gut das mein Onkel gleich zu mir gekommen ist mit dem Ding.
nur gut das das Ding so schlecht Programmiert war und man den Speicherort über die Eigenschaften auslesen konnte. war so ne Art Browserfenster das man nichtmehr schliessen konnte