emu5.de

So, jetzt hab ich auch mal was abbekommen...

Ich habe irgendwas im System, dass bei einem Start eines Programms, dass ins Internet geht eine vrt***.tmp (*** steht für irgendeine Zahl) im Windows "Temp" Verzeichnis anlegt, wenn die Firewall diese blockt, noch eine vrt***.exe nachschiebt und dann ist Ruhe.

Der Rechner verhält sich aber hin und wieder merkwürdig. Hinzu kommt, dass ich den Virenscanner von Antivir zwar runterladen kann, beim Versuch diesen zu installieren, meldet die Software dann aber immer einen CRC-Checksummenfehler in einer exe und bricht ab. Dazu gibts den Hinweis, dass diese Änderung von einem Virus kommen könnte.

Das System ist gestern frisch aufgesetzt worden, der Fehler tritt sofort wieder auf!

Und nu?

Ein Stück weiter bin ich - das Teil sitzt anscheinend in jeder exe, die ins Netz geht.

Warum aber die Scanner das nicht gefunden haben - beim Online Check jetzt kommt da ne eindeutige Meldung.

Haengt der Rechner am Netz, bevor alle Updates drauf sind? So koennte der was abbekommen haben.

Entweder kennt er den tatsaechlich nicht oder der deaktiviert die Scanner, damit sie nicht finden.

Ich glaube eher, auf meiner Datenpartition ist was drauf und das infiziert.

Werde diese Platte mal abhängen und neu installieren und dann schaun was geht.

Ist ja echt zum Heulen.

Gestern poppt auf einmal die Firewall auf und meldet, dass ein unbekanntes Programm raustelefonieren will und schon ist er wieder da, der Virus.

Mittlerweile weiß ich in etwa, um was es sich da handelt und was das Teil versucht. Was ich aber gar nicht kapiere - wie kommt der auf den Rechner??? Nach der Neuinstallation kam ja die Meldung "nix gefunden!".

Sämtliche Testprogramme attestieren mir, dass der Rechner von außen verschlossen ist. Und den IE hab ich nur angemacht, um das Windows Update zu ziehen.

Derzeit laufen zwei Online-Virenscanner, Norton findet so gut wie nix, Kaspersky meldet bisher 1168 infizierte Dateien und 1 Virus (und hat grade mal 24000 Dateien durch).

Opera.exe mal hochgeladen und der Checker sagt:

"Scanned file: Opera.exe - Infected

Opera.exe - infected by Virus.Win32.Virut.a"

Und so siehts bei allen Programmen aus, die nicht mehr richtig funzen.

Wie hast Du denn installiert? Datenplatte ab, Platte platt machen, Windows neu, Updates ziehen? Ich glaub, Du muesstest Dir von nem sicher sauberen Rechner zunaechst ne Firewall ziehen, die installieren, bevor Du die Updates holst bzw. auch die Updates alle von nem anderen Rechner ziehen und brennen, aber das wird muehsamer.

Welche "alten" Programme benutzt Du denn, die auf anderen Platten oder CDs lagern? Schmeiss die weg. Und was hast Du sonst an Programmen im taeglichen Betrieb so laufen? ICQ o. ae.? Die Viren kommen ja nicht einfach so durch's Netz geflogen, meist holt man sie sich ja aktiv durch irgendwelche Programme, Datenaustausch usw.. Wenn Du ein vollkommen neues System nach dieser Methode am Netz hast, nichts altes benutzt und z. B. auch nur nen Browser am laufen hast, dann kannst Du keine Viren bekommen.

Welche Virenscanner haben den Virus denn gefunden? Finden sie ihn in allen Dateien? Die Teile sind naemlich ziemlich schlecht, evtl. erkennen sie ihn bloss in bestimmten Daten und da nicht, wo er jetzt immer her kommt...

Kaspersky findet ihn. Und ich hab jetzt wohl auch den Grund.

In einem Cache vom Opera liegt ein Js mit nem Trojaner-Downloader. Der muß dann nachgeladen haben, als die Firewall irgendwann mal nicht an war (stellt sich die Frage: warum war sie das eigentlich?). Dummerweise liegt dieser Cache auf der Datenplatte und damit war er für Opera möglicherweise (weiß nicht, ob da noch was anderes liegt) wieder ausführbar. Werde mal das Script lesen, vielleicht bekomme ich auch noch raus, wo das herstammt.

Neuinstalltion: ich hänge die Datenplatte ab und radiere die andere Platte komplett, dann Installation aller wichtigen Dinge bis der Rechner dicht ist, dann kommt die andere Platte dran, dann erst der Netzstecker.

Hätte ich am 2.7. nicht was Wichtiges vor, würde ich das jetzt machen, so werde ich aber erstmal den Regen genießen...

Derweil kann Kapsersky mal die Datenplatte komplett durchwühlen.

Na super...

Aber immerhin kennst Du jetzt den Grund.

Da frage ich mich aber auch: wie verhindere ich sowas

Javascript ausschalten?

Dann geht im Netz ja jede zweite Seite nicht mehr, da die Webdesigner sich ja immer mit solchen Spielereien beweisen müssen...

Nein, Javascript kann nicht die Ursache sein, wenn der Browser nicht schon (bekannte) Bugs hat, die sich mit Javascript ausnutzen lassen.

Eine Moeglichkeit waeren die bekannten Luecken in der Bilddarstellung, aber da sollten eigentlich Updates fuer da sein (von MS und ggf auch fuer Opera). Ansonsten? Einfach wo draufgeklickt, irgendnem Link aus ner Mail oder sonstwoher gefolgt? Hoert sich bloed an, ich weiss.

"Trojan-Downloader.JS.Miner

Datum der Veröffentlichung 15 Apr 2005

Technical Details

Malware (Trojaner), geschrieben mit JavaScript.

Ungefähre Länge des Trojaner-Codes — 1-3KB. Er ist gewöhnlich in eine HTML-Seite eingebaut, deren Größe beliebig sein kann. Der Code kann mit Hilfe der eingebauten Mittel von JavaScript (JScript.Encode) chiffriert werden.

Was passiert?

Lädt und startet ein beliebiges Trojaner-Programm ohne Kenntnis des Anwenders. Es nutzt dafür, abhängig vom Betriebssystem, einige HTML-Schwachstellen: CAN-2002-0077 (Exploit.HTML.CodeBaseExec), CAN-2004-0380 (Exploit.HTML.Mht), XMLHTTP und ADODB Stream."

So siehts aus. Beim ersten Mal war wohl nicht richtig gepatcht, beim zweiten Mal wars Dummheit, weil das Teil noch in der Datenpartition geschlummert hat und von den anderen Scannern nicht gefunden wurde.

Aber jetzt gehts ihm an den Kragen.




Aus ner Mail ganz sicher nicht - aber das Script kommt ja von ner Internet-Seite. Deshalb will ichs ja mal lesen, vielleicht kann man ja noch nachvollziehen, woher.

Yep. An sich und in der reinen Theorie ist Javascript harmlos, in der Praxis gibt es a) keine funktionierenden Javascript-Implementationen in den Browsern und b) lassen sich damit eben solche Luecken nutzen.

Updates ziehen und hoffen, dass das reicht, MS braucht auch schon mal n Jahr fuer sowas...

wenn man nen Rechner neu aufsetzt, sollte man Service-Pack, am Besten auch so ein inoffizielles mit den letzten Patches, Firewall und Virenscanner auf
einer CD haben. Erst den Kram installieren, dann den Rechner ans Netz hängen.

Unter WinXP kann man mit dem Tool "msconfig" alle automtisch startenden Programme sehen und per Mausklick abschalten. Hilft oft

Habs so gemacht. Jetzt findet kein Scanner mehr was.

Getunt wird das System noch, hab ich momentan keine Zeit für.