Viruswarnung

W

wolfmann

Nicht mehr aktiv
#1
Guten morgen zusammen,

bevor ich das Problem gelöst habe, möchte ich vorab eine Warnung bekannt geben.
Trotz doppelter (aktuell gepatchter) Firewall (HW und SW) sowie aktuellem Betriebsystem W2000 und Antivirensoftware habe ich mir gestern Abend einen Virus auf meiner Workstation eingefangen (Der Server ist gottseidank nicht betroffen). Endweder habe ich ihn nicht, oder mit dem "wegklicken" eines Popups aktiviert. (Daher mein erster Rat: Niemals ein Popup oben rechts wegklicken, immer auf der Taskleiste "rechtsklicken" und "schließen" wählen).

Der Virus wird von Norton Antivirus zwar erkannt als Virus "Downloader.Trojan", kann aber von NAV nicht entfernt und deaktiviert werden. Zunächst macht er sich durch das Auftauchen von vielen Popups bemerkbar, er soll aber auch ein bestehendes Netzwerk infiltrieren und einen Dialer installieren (bei dsl gottseidank kein Problem). Ich habe die Workstation ert mal vom Netz isoliert.

Die infizierten Dateien sitzen in den "Temporary Internet Files" unter "Dokumente und Einstellungen", sowie im Verzeichnis "STC" unter c:\Programme, das vom Virus erzeugt wurde. Der Name des erzeugten Icons ist "Second Thought".

Unter Google tauchen jede Menge Hinweise zum Downloader.Trojan auf, aber ich habe bisher keine zum "Second Thought" gefunden.
Das Schadenspotential des Virus wird von gering bis erheblich eingestuft.
Das Beenden des Prozesses und Löschen der Temporären Internet und der STC-Dateien bringt keine Hilfe, da sich der Virus beim nächsten Start wieder aktiviert (weiß der Henker woher).

Ich lasse gerade einen kompletten Systemcheck im abgesicherten Modus laufen, wollte Euch aber mal vorab warnen.

Ein schönes Wochenende

Wolfgang
 
W

wolfmann

Nicht mehr aktiv
#4
@pc139r
Danke für den Hinweis, Die Datei ist jetzt weg, aber das war offenbar nicht alles.

@M.L.
Popups sind eine eingebaute Warnmeldung von Microschrott I.E.:D
Ich habe Posts gefunden, nachdem der Virus auch Netscape befällt, dann aber ohne weitere Warnung:eek: .

@all
Ich bin den brutalen Weg gegangen:
1. Im abgesicherten Modus alle Prozesse gestoppt, die nicht koscher aussahen.
2. Alle Dateien gesucht, die nach dem 9.1.04 22:10 geändert wurden (Vermutlicher Zeitpunkt der Infektion 22:15), umbenannt und später gelöscht (ca. 20 Stück, u.A. auch eine Datei Loader aus dem Verzeichnis C.\programme\Clearsearch).
3. Registry gesichert und dort alle Hinweise auf "STC" gelöscht, bis auf normale Window prgs wie z.B. STClient.

Das war zwar nicht elegant, aber das System läuft jetzt wieder stabil, ich habe wohl nicht zuviel gelöscht:rolleyes: .

Quintessenz, auch mit fast maximal möglicher Sicherheit ist ein Virenbefall möglich.

Gruß

Wolfgang
 

otto

... nicht mehr im Dienst.
Mitarbeiter
#5
... Quintessenz, auch mit fast maximal möglicher Sicherheit ist ein Virenbefall möglich. ...

Tja, Wolfgang; gibt's nur einen Weg um sich der Virusgeschichte zu entledigen. Nicht mehr OnLine gehen - zumindest nicht über Kabelanbindung wie Modem/ISDN oder DSL-lle.

Ach so, über Sky-DSL kommen keine Viren rüber; das ist ja "ohne Kabel", per Sat-Antenne sozusagen ... :confused:

Gruß
otto
 
W

wolfmann

Nicht mehr aktiv
#7
@Otto,
:huch :D :D :D
Es ist erstaunlich, daß noch keiner auf Deinen Test geantwortet hat.
Natürlich kann man sich auch über Sky was einfangen, auch ohne Kabel :p
Wenn man Offline bleibt natürlich nicht. :rolleyes:

@Joe
Linux ist ne gute Möglichkeit. Deswegen sind bei mir Server und FW-Rechner nicht befallen;)
Auf der Workstation laufen allerding Programme, die nur für Windows gibt, leider.

Einen schönen Sonntag

Wolfgang
 
W

wolfmann

Nicht mehr aktiv
#8
@all,
Ach ja, der Post war als Warnung gedacht, sich 1. nicht zu sicher zu fühlen, und 2. da die Publikationen auf eine zunehmende Schadensmöglichkeit dieser Trojaner hinweisen.

Gruß Wolfgang
 
H

Harald 41

Nicht mehr aktiv
#10
Trojaner gratis

Für alle die noch XP und natürlich auch alle anderen Betriebsystheme von Windows benützen, habe heute einen Trojaner beim letzten Adobe Reader Update gratis dazu bekommen.
Da momentan viel Vieren auf dem Datenhighway unterwegs sind empfiehlt es sich mindesten einmal die Woche den Scanner laufen zu lassen.

LG Harry
 
Oben