Virus oder Wurm oder was? |
speedmaster
neu im Forum
Dabei seit: 14.04.2004
Beiträge: 27
|
|
Virus oder Wurm oder was? |
|
Hallo Forianer,
mich hat heute ein guter Freund angerufen und mir erzählt, dass sein Rechner nur noch sehr langsam läuft und nach und nach einige Ordner verschwunden sind.
Ich habe ihm daraufhin gesagt, er soll möglichst nichts machen, bis ich da bin.
Ich muß dazusagen, dass der Rechner über einen Router mit integriertet Firewall und aktuellem (sch...-) Norton Antovirus 2004 Professional mit dem Internet gesichert ist - bzw sein sollte.
Als ich bei ihm ankam, hatte sich die Situaltion noch ein bischen verschlimmert:
Die 80GB Festplatte, die vorher in 4 Partitionen aufgeteilt war, hatte nur noch eine Partition von ca 74GB. Interessant dabei: kein Datenverlust und ALLE installierten Programme (Office, Grafik, Vidoe, Spiele, etc) funktionierten einwandfrei!
Ich habe natürlich direkt an einen Virus gedacht und versucht den Virenscanner laufen zu lassen - ging nicht.
Nächste Idee: Den Inhalt von Temporäre Internetdateien, Window\Temp und Lokale Einstellungen\Temp löschen.
Überraschung: Keiner dieser Ordner war auffindbar!!
Ich hab zuerst gedacht, der Trottel hat die gelöscht und deshalb läuft auch der Rechner so langsam, doch bei dem Versuch beispielsweise einen neuen "Temp"-Ordner unter Windows anzulegen, kam die Fehlermeldung: "Der Odner kann nicht angelegt werden, weil ein Ordner dieses Namens schon vorhanden ist".
Ich also in die Ansichtsoptionen für Ordner und Systemordner, versteckte Ordner, alle Dateien anzeigen eingeschaltet und nochmal gesucht: keine Temp-Ordner zu finden - auch nicht über die Dateisuche!!
Als nächstes habe ich versucht den Rechner im Abgesicherten Modus zu starten - ging nicht, weil es weder irgendeinen abgesicherten noch sonst einen Modus außer dem normalen Start gab!
Also Rechner normal gestartet und versucht in die Ereignisanzeige rein zu kommen - das ging, aber es gab weder Einträge im Anwendungsprotokoll, noch im Systemprotokoll!!
Taskmanager gestartet - kene ungewöhnlichen Prozesse
versucht anderen Virenscanner zu installieren oder von CD laufen zu lassen - ging nicht
Letzter Versuch mit Norton Systemworks 2004:
Prozess-View gestartet und siehe da: es liefen VIER Prozesse, die da nicht hingehörten und seeehr ungewöhnlich waren: f0m0n, r0r0r, gdi32plus und noch einer.
Nachdem ich die der Reihe nach "abgeschossen" habe, waren auf einmal auch die verschwundenen Temp-Ordner wieder da. Deren Inhalte habe ich dann direkt komplett gelöscht und den Prefetch Ordner-Inhalt glieich mit.
Instinktiv habe ich dann mal die Dienste angeschaut und tatsächlich wiederum ZWEI entdeckt und sofort beendet: f0m0n und r0r0r.
Als nächste habe ich eine Dateisuche im gesamten System gemacht nach den Namen der zuvor beendeten Prozesse: fündig! Unter Window\System32 gab es zwei Ordner mit den glecihen Namen, den die Dienste hatten. Beide Ordner enthielten mehrere dll- und exe-Dateien.
NACHDEM ich diese beiden Ordner gelöscht hatte, tauchte - wie aus dem nichts - im Hauptverzeichnis C ein Ordner mit dem Namen "van32" auf - den hab ich gleich mitgelöscht.
Nach einem Neustart lief der Rechner wieder normal und der Spuk war vorbei - und 6,5 Stunden um. Der einzige "Schaden", der geblieben ist, ist die umpartitionierte Festplatte!
Abschließend habe ich dann noch den Sch..Norton Antivirus gekillt und die komplette McAffee Internet Security Suite 6.0 inklusive Firewall installiert und die Firewall noch zusätzlich "scharf" gemacht. Ein Virenscan mit McAffee hat dann auch noch zwei weitere - "harmlosere" - Viren gefunden, die Norton Antivirus wohl großzügig übersehen hatte.
Was für mich bleibt, ist die Frage, wie ein derart Aggressives Programm zum einen an der Hardware-Firewall vorbeikam, von Norton Antivirus nicht bekömpft werden konnte und unter was für eine Kategorie sowas fällt?
War das nun ein Virus, ein Wurm oder was??
Ich habe seit 12 Jahren mit Computern zu tun, bin ausgeblieter Systemadministrator Internet und habe so etwas noch nicht gesehen und bislang auch noch nichts darüber gelesen oder gehört.
Ich weiß, dass Viren erheblichen Schaden verursachen können - aber dieses "Ding" hat keinen wirklichen Schaden angerichtet!
Ich weiß, dass Viren gewöhnlich nur aus bestenfalls ein paar Dateien bestehen, die meistens im Ordenr "Temporäre Internetdateien" liegen und von dort aus Unruhe stiften - aber dieses "Ding" hat gleich mehrere Ordner anglegt und bestand aus Dutzenden Dateien
Ich weiß, dass es Viren gibt, die entweder den Bootvorgang beeinflussen oder unter Windows runwurschteln - aber dieses "Ding" hat irgendwie beides gemacht.
Was mir völlig neu ist, ist die Geschichte mit den Diensten, mit dem Umpartitiionieren der Festplatte OHNE Datenverlust mit gleichzeitiger Änderung der programminternen Verknüpfungen und der Registryeinträge, so dass ALLE installierten Programme einwandfrei funktionieren und KEIN Datenverlust auftritt - und das von einem Moment auf den anderen und NICHT in einer stundenlangen Rechenaktion! Und das perfekte Verstecken von Ordnern samt Inhalt.
Jedes Tool zum partitionieren der Festplatten, das ich kenne, braucht VIEEEL mehr Zeit als dieses "DING" gebraucht hat.
Wie gesagt, das eigentliche Problem ist gelöst, aber was mich interessieren würde, ist, ob irgendjemandem hier schon mal was ähnliches passiert ist und ob jemand weiß, was das für ein "Ding" gewesen sein könnte: Virus, Wurm oder etwas "Neues"?
mfg
Speedmaster
p.s. Ich habe mit Norton-"Anti"Virus in den Versionen 2001/2/3/4 nur schlechte Erfahrungen gemacht!! Rund 80% (!!!) der Rechner, auf denen ich in der letzten Zeit McAffee installiert habe und die vorher Norton draufhatten, waren Virenverseucht!!!!
|
|
26.05.2004 01:55 |
|
|
Athena
Administratorin
Dabei seit: 23.07.2002
Beiträge: 16.233
Herkunft: Lübeck
|
|
Guten Morgen
zum Thema Norton 2004 Antivirus Sicherheitslücken paßt auch noch diese Meldung
, da sie relativ neu ist.
Athena
__________________ bitte keine technischen Anfragen per PN ! und verwendet als erste Anlaufstelle bitte unsere Suchfunktion !
|
|
26.05.2004 08:03 |
|
|
speedmaster
neu im Forum
Dabei seit: 14.04.2004
Beiträge: 27
Themenstarter
|
|
Hi Spot,
hier die Antworten auf Deine Fragen:
Accountname: kein Standard
Passwort: achtstellig alphanummerisch
DSL-Flat vorhanden
Der Router ist von Netgear und auf Grund der unzureichenden Dokumentation habe ich tagelang herumprobiert, bis ich ihn so konfiguriert hatte, dass alles lief.
Ich habe dazu in der Routerconfig nur die Programme mit TCP- & UDP-Portnummer freigeschaltet, die er auch tatsächlich benutzt. Alle anderen Ports - sollten eigentlich - dicht sein. Da man darauf aber ganz offensichtlich nicht vertrauen kann, habe ich nun zusätzlich noch die McAffee-Firewall mitinstalliert
Nebenbei interessant ist vielleicht noch, dass der Freund seinen Internetzugang mit seinem Vater teilt und der Rechner seines Vaters nicht betroffen war, obwohl dieser genauso abgesichert ist und gleichzeitig eingeschaltet war.
Bei beiden Rechnern wurden außerdem alle MS-XP Patches installiert!!
Bezüglich des Berichts auf TrendMicro gebe ich Dir recht: eine gewisse Ähnlichkeit ist vorhanden, so dass man davon ausgehen kann, dass es sich tatsächlich um eine Variante von Maroon.a handeln könnte. Aber offensichtlich um eine fortschrittlichere als die von TrendMicro beschriebene, denn der dort empfohlene "Trick" mit dem abgesicherten Modus war in unserem Fall nicht möglich. Die Funktion tauchte einfach nach dem Drücken der F8-Taste nicht auf - man konnte den Rechner nur im Standard-Modus starten.
Der andere Link, den Du eingefügt hast führt leider ins Leere :(
Adaware 6.0 Pro hat übrigens auch nichts gefunden!
@ Athena
ich meine, einen ähnlichen Artikel schon mal irgendwo gelesen zu haben.
Schade eigentlich, dass NAV so mies geworden ist. Bis vor etwa einem Jahr habe ich auch noch gedacht, dass NAV für Privatrechner durchaus ausreichend sei, bis ich dann selber Opfer einer Attacke wurde - trotz Auto- bzw Live-Update.
Bei der Suche nach Alternativen bin ich dann zunächst bei der Ontrack/V-COM - Systemsuite hängengeblieben und erst Anfang diese Jahres zu McAffee gewechselt.
Ich verstehe nicht, warum Symantec so einen Murx macht. Symantec hatte schließlich lange Zeit einen ähnlich guten Ruf wie McAffee.
Ob wohl die Enterprise-Produktlinie für Unternehmen genauso unzuverlässig ist?
Hätte ich bei Symantec was zu sagen, würde ich meinen Programmieren ganz kräftig in den Hintern treten, denn solche Schlampereien können geradezu vernichtend für ein Unternehmen sein, dass sich schwerpunktmäßig auf Systemtools und Sicherheitssoftware spezialisiert hat.
Oder ob wohl Microsoft bei Symantec schon einen Fuß in der Türe hat? Die Thematiken ActiveX und Sicherheitslücken passen eigentlich viel besser zu MS als zu Symantec, oder?
MfG
Speedmaster
|
|
26.05.2004 12:51 |
|
|
General_Failure
kommt gerne wieder
Dabei seit: 07.03.2004
Beiträge: 75
Herkunft: AUSTRIA
|
|
...also ich kann das mit Norton nur allzu bestätigen, leider.
Leider kann ich Dir nichts raten, die Beschreibung hat was von "strange" an sich, halt uns aber auf dem laufenden, das interresiert mich.
grüsse General
|
|
26.05.2004 16:35 |
|
|
Spot
Mitglied
Dabei seit: 27.09.2003
Beiträge: 247
Herkunft: Fidonet
|
|
Hi Speedmaster
Zitat: |
Original von speedmaster
[...]
Der andere Link, den Du eingefügt hast führt leider ins Leere :(
[...]
|
|
Hab mal die URL Umwandlung rausgenommen..
Gruss Spot
|
|
26.05.2004 17:10 |
|
|
|