Gruss an Kundige
auf einen PC habe ich festgestellt, dass der obige Wurm eingefallen war. Ein Zugriff auf die MS-Updateseite war nicht mehr möglich. Ich hatte dann, da kein Antivirusprogramm installiert war mit dem MS-Tool zur Entfernung schädlicher Software (von winfurure.de heruntergeladen) den Wurm vernichten lassen. Danach mussten noch Dienste neu gestartet werden laut Anleitung von MS. Danach lief wieder alles.
Jetzt kam die Meldung: kein Internetzugang mehr möglich. Falls es keine andere Ursache hat, muss ich vermuten, dass der Wurm doch noch tätig ist und wieder zuschlug.
Frage: kann ich auf ein solch ggf. infiziertes System z.b. das Virenprogram AVG installieren und dieses dann auf den Rechner loslassen, dass es die Schädlinge beseitigt oder ist das so nicht möglich?
Wenn nein, was tue ich jetzt am besten?
gruss T.
Viren, Spyware, Datenschutz 11.213 Themen, 94.186 Beiträge
danke Leute für die vielen Hinweise, jedoch fragt man sich: ist diese Biest so zudringlich, dass nur Neuinstallation hilft. Dann geht die ganze Arbeit von vorn los.
Daher schrieb ich, was zusätzlich zu beachten sei. ;) Ist wie beim Kuchenbacken: Fehlt das Fett, wird der Kuchen nix. Fehlt der Zucker, schmeckt er nicht ordentlich. Fehlt das Mehl, ist es kein Kuchen (ok, es gibt auch Rezepte ohne Mehl-Basis). ;)
Es ist ein XP home mit eine DSL Versorgung bei t-online. Sonst ist kein Netz weiter vorhanden.
OK, dann ist von einer Infektion via Wechseldatenträger auszugehen. XP Home wird bei Dir derzeit mit welchem Service-Pack-Stand betrieben? Schau bitte in die Systemsteuerung, Bereich Software. Lass Dir dort auch die installierten Windowsupdates anzeigen. Schau bitte nach, ob "KB971029" installiert (gelistet) ist.
Ich hatte immer gedacht ein Virensystem kann den Schädling aufspüren und entfernen. Statt dessen heisst es: tabula rasa.
Das Problem ist, dass wir es hier mit einem infizierten System zu tun haben. Nach einer Infektion ist der Zustand als nicht mehr vertrauenswürdig einzustufen.
Natürlich ist das die sichere Methode, aber leider auch die schmerzlichste nachdem soviel installiert wurde.
Sagen wir so: Es ist ein notwendiges Vorgehen, weil mögliche (Spät-)Folgen weit schmerzlicher sein können als die Neuinstallation. Wenn Du viele Programme nutzt, würde ich Dir empfehlen, öfter mal ein Sicherungsimage der aktuellen Systemzustände anzufertigen und extern abzuspeichern. Sollte es dann später mal zu Problemen kommen, auch solchen, die nichts mit Malware zu tun haben, kannst Du einen vorausgegangenen Zustand innerhalb weniger Minuten zurücksichern. Sowas erspart Zeit und Arbeit.
Also, wenn ich richtig verstanden habe: nachträgliches Installieren von z.b. AVG und scan hat keinen Sinn?
Mit der Intention zur Wiederherstellung eines vertrauenswürdigen Systemzustands: Nein. Für etwaige Analysen (z.B. Aufspüren etwaiger Exploits im Sinne der Ursachenforschung) kann sowas aber im ein oder anderen Fall in Betracht gezogen werden.
Was mache ich mit den anderen Laufwerken auf denen sich z.b. viele Bilder befinden?
Sind diese Bilder derzeit nicht extern auf zusätzlichen Datenträgern aus dem laufenden Betrieb gesichert? Falls nein, bereits an dieser Stelle der Hinweis, sowas künftig umzusetzen.
Bei Autorun-Malware muss damit gerechnet werden, dass auch andere Partitionen infiziert sind, und zwar insofern, dass bereits ein Öffnen des jeweiligen Laufwerks genügt, um den Schädling erneut auszuführen. Daher auch meine Empfehlung zum Einsatz von Knoppix.
Es sind zwei Platten mit je zwei LWs vorhanden. Kann sich der Wurm auch auf den anderen LWs sprungbereit verborgen halten und dann das Frischinstallierte C: wieder befallen?
Ja, gerade Autorun-Würmer (wie Conficker einer ist) können dies.
Mit den USB-Wechseldatenträgern ist mir das schon klar. Die müssen ausserhalb untersucht werden. Aber auch da hatte ich einen Stift, der den Config-A hatte. Blieb nur Daten auslagern und formatieren.
Richtig. Der Zugriff darauf sollte allerdings ebenfalls nur über ein nicht verwundbares System erfolgen (siehe obige Tipps).
Wofür hat man die Programme eigentlich?
Sie können kleine Hilfestellungen bieten, Hinweise geben. Danach ist es am Benutzer selbst, diese auszuwerten und die richtigen Maßnahmen zu ergreifen. Man darf nicht zuviel von den Programmen erwarten, insbesondere dann nicht, wenn eine Infektion längst "durch" ist.
Nur das sie mal Alarm schlagen, wenn was reinkommt? Das wäre ein bisschen wenig. Ich hatte eigentlich die Säuberung erwartet.
Zur erwarteten Säuberung lies bitte:
-> http://www.microsoft.com/germany/technet/datenbank/articles/600574.mspx
-> http://www.malte-wetz.de/wiki/pmwiki.php/De/RemovalTools
Daher schrieb ich, was zusätzlich zu beachten sei. ;) Ist wie beim Kuchenbacken: Fehlt das Fett, wird der Kuchen nix. Fehlt der Zucker, schmeckt er nicht ordentlich. Fehlt das Mehl, ist es kein Kuchen (ok, es gibt auch Rezepte ohne Mehl-Basis). ;)
Es ist ein XP home mit eine DSL Versorgung bei t-online. Sonst ist kein Netz weiter vorhanden.
OK, dann ist von einer Infektion via Wechseldatenträger auszugehen. XP Home wird bei Dir derzeit mit welchem Service-Pack-Stand betrieben? Schau bitte in die Systemsteuerung, Bereich Software. Lass Dir dort auch die installierten Windowsupdates anzeigen. Schau bitte nach, ob "KB971029" installiert (gelistet) ist.
Ich hatte immer gedacht ein Virensystem kann den Schädling aufspüren und entfernen. Statt dessen heisst es: tabula rasa.
Das Problem ist, dass wir es hier mit einem infizierten System zu tun haben. Nach einer Infektion ist der Zustand als nicht mehr vertrauenswürdig einzustufen.
Natürlich ist das die sichere Methode, aber leider auch die schmerzlichste nachdem soviel installiert wurde.
Sagen wir so: Es ist ein notwendiges Vorgehen, weil mögliche (Spät-)Folgen weit schmerzlicher sein können als die Neuinstallation. Wenn Du viele Programme nutzt, würde ich Dir empfehlen, öfter mal ein Sicherungsimage der aktuellen Systemzustände anzufertigen und extern abzuspeichern. Sollte es dann später mal zu Problemen kommen, auch solchen, die nichts mit Malware zu tun haben, kannst Du einen vorausgegangenen Zustand innerhalb weniger Minuten zurücksichern. Sowas erspart Zeit und Arbeit.
Also, wenn ich richtig verstanden habe: nachträgliches Installieren von z.b. AVG und scan hat keinen Sinn?
Mit der Intention zur Wiederherstellung eines vertrauenswürdigen Systemzustands: Nein. Für etwaige Analysen (z.B. Aufspüren etwaiger Exploits im Sinne der Ursachenforschung) kann sowas aber im ein oder anderen Fall in Betracht gezogen werden.
Was mache ich mit den anderen Laufwerken auf denen sich z.b. viele Bilder befinden?
Sind diese Bilder derzeit nicht extern auf zusätzlichen Datenträgern aus dem laufenden Betrieb gesichert? Falls nein, bereits an dieser Stelle der Hinweis, sowas künftig umzusetzen.
Bei Autorun-Malware muss damit gerechnet werden, dass auch andere Partitionen infiziert sind, und zwar insofern, dass bereits ein Öffnen des jeweiligen Laufwerks genügt, um den Schädling erneut auszuführen. Daher auch meine Empfehlung zum Einsatz von Knoppix.
Es sind zwei Platten mit je zwei LWs vorhanden. Kann sich der Wurm auch auf den anderen LWs sprungbereit verborgen halten und dann das Frischinstallierte C: wieder befallen?
Ja, gerade Autorun-Würmer (wie Conficker einer ist) können dies.
Mit den USB-Wechseldatenträgern ist mir das schon klar. Die müssen ausserhalb untersucht werden. Aber auch da hatte ich einen Stift, der den Config-A hatte. Blieb nur Daten auslagern und formatieren.
Richtig. Der Zugriff darauf sollte allerdings ebenfalls nur über ein nicht verwundbares System erfolgen (siehe obige Tipps).
Wofür hat man die Programme eigentlich?
Sie können kleine Hilfestellungen bieten, Hinweise geben. Danach ist es am Benutzer selbst, diese auszuwerten und die richtigen Maßnahmen zu ergreifen. Man darf nicht zuviel von den Programmen erwarten, insbesondere dann nicht, wenn eine Infektion längst "durch" ist.
Nur das sie mal Alarm schlagen, wenn was reinkommt? Das wäre ein bisschen wenig. Ich hatte eigentlich die Säuberung erwartet.
Zur erwarteten Säuberung lies bitte:
-> http://www.microsoft.com/germany/technet/datenbank/articles/600574.mspx
-> http://www.malte-wetz.de/wiki/pmwiki.php/De/RemovalTools