Pferdeherde bei mir zu Gast

[Der IFA]

Morgen!

 

Ich habe eine Frage an die versammelten Computer-Cracks:

Ich habe mir vorgestern, trotz immer braver Updates, einen Virus eingefangen. Er heißt "System Check" und ist ein recht bekannter, so wie es aussieht. http://de.pcthreat.com/parasitebyid-21441de.html

Der Registrierungsschlüssel hat funktioniert und ich konnte wieder an meinem Rechner arbeiten. (Mein System ist übrigens Windows XP) Leider hat kein Virenwarner angeschlagen und das Programm ließ sich auch nicht deinstallieren.

Ich bin dann wie folgt vorgegangen:

Unter "Anwendungen" habe ich ein paar Dateien gefunden, die zweifelsfrei zu dem Programm gehörten. Die habe ich gelöscht. Daß etwas wichtiges dabei sein musste, habe ich festgestellt, als Windows ningelte, daß sich eine Datei nicht löschen lässt, weil sie für das Programm gebraucht wird. ()

Der Dreck hatte sich unbemerkt wieder angeschalten. Also beendet, gelöscht, siehe da, der Ordner in "alle Programme" war leer. Den restlichen Ordner habe ich auch gelöscht. Dann mittels C-Cleaner die Registry aufgeräumt.

SpyHunter fand dann noch rund 20 spy-cookies, diese habe ich gerade manuell gelöscht. (Strg + F ist ab jetzt mein Freund! ) SpyHunter läuft gerade noch mal durch, aber es hat noch nicht geningelt. Ein gutes Zeichen, sonst war es in den ersten Minuten, mittlerweile dürfte eine Viertelstunden vergangen sein.

 

Meine Frage:

Wo sollte ich jetzt noch schauen? Was könnte noch irgendwo rumliegen und mir Probleme verursachen? Hat der Virus mir unbemerkt ein Tor geöffnet, durch das noch mehr Spyware reinkommen kann?

Bitte erklärt mir das, wie ihr das einem Noob erklären würdet. Ich bin selbst erstaunt, daß der Rechner nach meiner Lösch- Attacke noch läuft. (Bisschen stolz bin ich auch... )

 

Ich werde das System, sobald ich WinXP für nen schmalen Taler gefunden habe, sowieso neu aufsetzen. Ich vertraue dem System nicht mehr. Mir geht es jetzt nur noch drum, daß ich ein paar wichtige Daten retten kann und bis es soweit ist, noch mal in's Internet gehen kann. Meint ihr, da gibt es Probleme? Sollte ich meine Passwörter ändern? Ich dachte zwischenzeitlich, es wäre wieder alles sauber und war auf Facebook und in meinem E-Mail-Account. Es war aber doch noch Spyware versteckt.

 

Ich danke euch schon mal.

[choppa]

Startmöglichkeiten für das Programm gibt es zu viele um sie hier alle aufzuzählen.

Beispielsweise wären da die WIN.INI oder diverse Registry-Schlüssel, wie etwa unter dem Zweig

"WINLOGON" oder den "CurrentUser/Run" und "SERVICES" Einträgen ...

 

Oftmals müssen sogar mehrere Mechanismen gleichzeitig ausgehebelt werden um die störenden Prozesse

ins Nirvana schicken zu können.

 

System neu aufsetzen ist definiv der richtige Schritt.

Nächstes mal auch besser ein Gastkonto mit eingeschränkten Rechten zum Surfen benutzen,

so nimmst Du schon über 90% aller Schadsoftware die Möglichkeit irgendwas im Hintergrund auf

deiner Festplatte zu installieren.

 

Deine Passwörter solltest Du über einen sauberen Rechner sicherheitshalber ändern.

 

Um zu prüfen ob noch irgendwelche Ports zum Internet offen gehalten werden kannst Du

lokale oder auch Online-Portscanner benutzen.

Dies gibt zumindest schon mal grobe Anhaltspunkte. Wenn Du lokal prüfst dann solltest Du auch

die Windows-Prozesse kennen, welche überhaupt eine Netzverbindung eingehen dürfen.

Als Laie dürfe es schon schwierig sein zu erkennen was gut und was böse ist.

Ekelig wird es, wenn Programme getunnelt werden, also die Schadsoftware einen vermeintlich

harmlosem Prozess tunnelt.

Beispielsweise könnte man die FIREFOX.EXE so verbiegen, daß die Schadsoftware als Modul

in diesem Prozess mitläuft. (So ein Prozess kann aus zig Einzelmodulen und DLLs bestehen)

Da man ohne FIREFOX.EXE nicht mit dem Firefox surfen kann, wird dieser Prozess natürlich

in einer Firewall freigegeben sein - und damit auch die Schadsoftware, welche huckepack mitläuft.

(Ein Grund warum Software-Firewalls oftmals sinnlos sind)

 

Benutze mal einen lokalen Portscanner und überwache die geöffneten Ports, nachdem Du dich in

das Internet eingewählt hast.

Einfach nur einwählen und keinen Browser starten !

Ein gutes Tool dafür ist z.B. ACTIVE PORTS.

 

Wenn keinerlei Internetanwendung geöffnet ist, sollte es ruhig zugehen - evtl. siehst Du noch

wie sich gerade dein Virenscanner Updates holt.

Falls nun irgendwelche anderen Prozesse plötzlich Verbindungen aufbauen ist das schon verdächtig.

 

Eigentlich sollte nur dein geöffneter Webbrowser auf Port 80 oder evtl. 443 Verbindungen aufbauen.

Dann noch dein Mailprogramm auf Port 25 und 110.

 

Alles andere (neben automatische Updates und Virensignaturen) ist schon als Verdächtig anzusehen.

 

Aber wie gesagt, ist die Schadsoftware raffiniert gestrickt, siehst Du sie mit dieser Methode auch

nicht zuverlässig.

 

Alles weitere was eine Analyse angeht benötigt schon mehr Wissen um das Betriebssystem.

 

Man kann den Rechner schon clean bekommen, aber er bliebe immer vertrauensunwürdig.

Gerade in Sachen Banking und Ebay hätte ich da ein schlechtes Gefühl im Bauch.

Neu Aufsetzen ist Pflicht, was Du ja schon richtig erkannt hast.

 

Wichtig ist, daß man es danach besser macht und diese Sicherheitslücke schließst.

Also neueste Softwareversionen besorgen und installieren, Gastkonto (oder besser gleich eine virtuelle Maschine)

sowie einen gesunden Menschenverstand bei dem auf das man klickt, und alles wird gut

[Der IFA]

Ich danke dir, Choppa.

Werde mir eine externe Festplatte holen und das System plattmachen. Trotz daß keine Sypware mehr erkannt wird, findet AntiVir immer mal wieder etwas. Bei Active Ports habe ich nichts ungewöhnliches mitgekriegt.

Der Tip mit dem Gastkonto ist Gold wert! Daran habe ich gar nicht gedacht. Admin-Rechte brauche ich eigentlich eher selten.

[iS_Simon]

@choppa: da ist nichts hinzuzufügen

 

dir wird dann mal auffallen wie oft du admin-rechte brauchst ;)

system neu und man hat wieder spaß mit dem pc...

[choppa]

system neu und man hat wieder spaß mit dem pc...

 

... und vorallem hat man wieder einen schnellen PC

[newstyle]

@ IFA:

Das Wichtigste ist bereits gesagt, wenn Du noch ne XP Home Lizenz brauchst, kannst Du mich gern mal ansprechen.

Habe ein neues Notebook, wo Windoof 7 bei war, dementsprechend brauche ich meine XP Lizenz nicht mehr.

Will ich auch nix für haben - wenn Du mir was zum Tauschen anbieten kannst, was man als E30 Fahrer immer braucht / haben sollte passt das schon :)

[iS_Simon]

das ist doch mal ein angebot ;)

[e_30]

Wo gibts denn Gastkonten?

Brauche auch sowas (hatte neulich nach Jahren wieder einen Virus namens Fakealert oder so ähnlich).

[newstyle]

Bei Systemsteuerung / Benutzerkonten kannst Du Dir eins einrichten...

[choppa]

Joah, das ist ein schon recht gut vorkonfiguriertes Konto.

Wenn Du selber noch an diversen Rechten drehen möchtest (ohne dich durchkomplizierte Sicherheitsrichtlinien durchzuwühlen)

solltest Du dir mal die Datei "WINFILE.EXE" besorgen und ins WINDOWS/SYSTEM32 Verzeichnis kopieren.

 

Wenn Du es dann über "AUSFÜHREN" aufrufst kannst Du Freigabestrukturen bis auf jede einzelne

kleine Datei einstellen - oder ganze Ordner / Platten.

 

Die Datei ist so nicht bei XP vorhanden und muß separat aus dem Internet geladen werden.

Sie stammt eigentlich aus Windows NT, funktioniert aber auch bei XP prima.