Viren und Würmer...

[sens.sash]

Hallo Leute,
habe mir vor einiger Zeit vom Kumpel seinen alten Rechner abgekauft.
Dieser hatte den lahm gelegt nachdem dort immer wieder Würmer und Trojaner zu finden waren!
Jetzt habe ich dem PC neuen Ram, Laufwerke, HD verpasst aber irgendwie läuft er immer noch nicht rund!
Manchmal springt die Prozessor Auslastung auf 100% hoch und blockiert dann sämtliche Vorgänge!
Spybot und Adawre können aber nichts finden!
Auch ein BIOS Reset verschaffte keine Abhilfe.
Woran kann das liegen?

Auch das er ständig VIren findet obwohl ich das Internet gar nicht benutzt habe versteh ich nicht! Kann es sein das sich so ein Virus auch aussehlab der Festplatte einnistet?
Was kann ich da tun?
(Normalerweise müssten doch sämtliche Viren bei format C: weg sein, oder?)

 

[grisu]

Erst mal brauchst du einen aktuellen Virenscanner. Dann würde ich mal deinen Kumpel fragen, wie er zu der Meinung gekommen ist, dass immer wieder Viren und Würmer auf dem Rechner waren?
Wenn er wirklich verseucht war und du ein neues System aufbauen möchtest, würde ich dir empfehlen Windows XP neu aufzusetzen. Vorher aber aktuellen Virenscanner installieren und drüberlaufen lassen, dann formatieren und Windows neu installieren. Dann sofort wieder Virenscanner installieren und alle Windows Updates einspielen und Firewall nicht vergessen. Solange der PC nicht mit diesen Schritten abgesichert ist, nicht im Internet surfen und keine Daten aufspielen (Wiederansteckungsgefahr).

Ansonsten immer die goldene Regel: Keine Software einfach mal aus dem Internet installieren. Und davon ausgehen, dass Viren sich verteilen wollen, deshalb können alle Dateien oder Datenträger (z.B. USB-Stick) verseucht sein, die du vorher schon mal am verseuchten PC angeschlossen hattest.

 

[Spielkind]

>Normalerweise müssten doch sämtliche Viren bei format C: weg sein, oder?

Imo net unbedingt! Bootsektorviren werden afair mit dem handelsüblichen Formatieren nicht entfernt.

Von den Formatierungsmechanismen wie sie Betriebssysteme à la Windows XP bieten, greift keine auf den Master Boot Record (MBR) zu. Doch gerade hier nistet sich der Bootsektorvirus ein.

>Quelle<

Abhilfe wäre dann imo hierzu eine Low-Level-Formatierung der Festplatte mit Überschreibung des Master Boot Record (MBR).

 

[sens.sash]

das ist es ja...
Manchmal sagt der Virenscanner einen Virus an!(Dann lösche ich die Datei)
Dann ist wieder alles okay und im nächsten Moment kommt dann der nächste Virus!
(Meistens auch mit anderem Namen)
Den letzten den er fand war nen sdbot.1689602.

Was könnte das mit der CPU Auslastung sein?

Wie kann ich eine Formatierung durchführen die den Masterbootrekord löscht?
MBR ist doch auf der HD enthalten, denn die war ja nagelneu!
Kann es sein das sich solche Viren noch woanders einnisten?
(Der Bootrekord wird doch Anfangs von Anti Vir gescannt, oder?
Wenn ja: -da findet der immer nichts)

Wie ernst muss ich Warnungen bei Anti Vir nehmen?

Wie bekomme ich heraus welches die wichtigsten Updates für Windows sind?
Und wo bekomme ich sie her?

 

[Spielkind]

Sdbot ist ein Backdoor- Trojaner und kein Bootsektorvirus.

Zum Bootsektorvirus: Format c: überschreibt den Bootsektor nicht, d.h. ein dort eingenisteter Virus wird mittels Formatieren nicht entfernt. Der Bootsekor kann afaik mittel fdisk /mbr oder aber über eine Neupartionierung z.B. mittels Fdisk neu geschrieben werden.

Ein Backdoor- Trojaner nistet sich afair üblicherweise im Windowsverzeichnis ein. Ein sicheres Entfernen ist i.d.R. lediglich per Hand möglich (HiJAckThis, eScan, usw.). Meist ist es aber schneller, das System neu aufzusetzen. Ein Backdoor- Trojaner kommt üblicherweise durch den Besuch zwielichtiger Webseiten mit dem IE und aktiviertem ActiveX/ Active Scripting aufs System. Der Schutz dagegen ist z.B. einen reglementierten Browser (z.B. das Zonenmodell des IE zu konfigurieren oder z.B. Firefox inkl. NoScript) zu verwenden.

Vor dem 1. Onlinegehen sollte bei Windows XP das SP2 und alle Patche installiert werden. Hier empfiehlt sich imo die Offlineinstallation. Dazu im Vorfeld das >SP2< und eine Patchsammlung, zB. von >Winboard< laden. Abschließend zur Neuinstallation lohnt dann noch ein Besuch der MS Update- Seite, da die Patchsammlungen afaik lediglich die sicherheitsrelevanten Patche beinhalten. Der Virenscanner sollte auch installiert, Online aktuallisiert werden und die Windows-Firewall im Sicherheitscenter aktiviert sein. Mehr Anregungen >hier<

Der Trojaner trägt sich in die Windowsregistry ein und stellt sich, z.B. nach jedem Neustart, wieder her. Er nutzt dazu z.B. Browserfunktionalitäten, so das die Wiederherstellung via Internet vom Virenscaner, z.B AntiVir, unbemerkt verläuft. Erst bei dessen Aktivierung stellt der Scanner den Virenbefall wieder fest.

 

[BAD]

Hatte schon so zimlcih jeden Virus Scanner drauf der einigermassen bekannt war. Seit gut 1-2 Jahren brauche ich nur noch Avast. Seit ich diesen habe gibts keine probleme mehr. Findet auch schnell Viren im Arbeitspeicher.

Am besten installierst du diesen und machst mal ein vollen Scan ohne Systemstart.

 

[sens.sash]

Das System habe ich jetzt schon dreimal neu aufgesetzt.

Wie meinst du das mit systemstart?

Was bedeutet das Wörtchen afaik?

Zwielichtige Seiten wurden von dme Kumpel öfters mal nageschaut!
Aber seitdem ich den Rechner habe und eine neue Hd eingebaut habe nicht mehr!

Woran kann es liegen das der Rechner manchmal eine Systemauslastung von 100% besitzt, obwohl ich gar nichts dran mache!
(kurze Erklärung dazu:Er springt auf 100% bleibt circa eine Sekunde dort dann geht er wieder runter circa 2sekunden dann passiert dasselbe wieder manchmal auch in unregemäßigen Intervallen?)

Kannst du mir eine kleine Checkliste geben die ich an Sicherheitsstandards auf den Computer bringen sollte?
Es ist Windows XP Professional (SP1 glaube ich)
falls das von belangen ist.

Danke im voraus

 

[petervonna]

System neu aufsetzen wie folgt:

Internetkabel ziehen (bzw. W-Lan-Router abschalten)
Formatieren + Windows neu installieren
SP2 installieren
UpdatePack (von Winfuture oder WinBoard) installieren
Windows konfigurieren (Interneteinstellungen, unnötige Dienste deaktivieren)
Virenscanner installieren (ggf. Softwarefirewall installieren, sonst die SP2-Firewall von Windows)
Internetkabel wieder reinstecken (bzw. Router anschalten)
www.windowsupdate.com - übrige Updates herunterladen
Virenscanner-Update

So dürfte nichts "reinkommen" (falls es nicht sowieso schon drauf ist und durch Formatierung nicht beseitigt wurde). Auch ggf. das Medium, wo SP2 und das UpdatePack drauf ist, überprüfen!!

----------------

afaik = as far as i know (übersetzt: soweit ich weiß)

 

[Spielkind]

@sens.sash
Ich denke mit "Sytemstart" ist ein Virenscan im abgesicherten Modus und bei deaktivierter Systemwiederherstellung gemeint?!

Hattest du beim System neu aufsetzen die Systemplatte vorher formatiert oder lediglich das Betriebssystem neu drübergespielt? Hast du die Festplatte ersetzt oder eine zweite eingebaut?

Die Sytemauslastung kann z.B. wegen Programmen die aus dem Autostart heraus gestartet werden durchaus kurzzeitig auf 100% gehen. Das könnte auch ein Virus sein. Ein anderer Grund könnte sein, wenn z.B. der Virenscanner einen automatisierten Virenscan startet.

Screenshotguide zum Neuaufsetzen des Systems: >Klick mich<

Kann es sein, das der Virus in irgendeiner Setupdatei steckt, die du geladen und archiviert hast und du den Virus beim Installieren des eigentlichen Programms unbewußt mit installierst?

AntiVir hat zwischenzeitlich eine ordentliche Erkennungsrate, so das du durchaus bei diesem Anti- Viren- Programm bleiben kannst. Den besten (kostenpflichtigen) Virenschutz erhälst du, meiner Meinung nach, mit Kaspersky oder auf diesem basierenden Scannern (Gdata, F-Secure) bzw. mit dem NOD32.

afaik hat petervonna schon richtig übersetzt.

 

[sens.sash]

So Leute, habe die Festplatte jetzt Formatiert, habe Windows neu aufgespielt.
Anti Vir, Spybot, Zone Alarm und Ad Aware aufgespielt! Alles geupdatet!
Bin gerade dabei SP2 zu besorgen da download bei ISDN unmöglich ist!
(Was bewirkt das SP genau? Ist es wie eine Firewall? dann könnte ich ja Zone Alarm runterschmeissen)

Soweit so gut! Ad Aware hat zwar 10 Kritische Objekte mit gleichem Namen gefunden die habe ich aber beseitigt!(Hoffe ich)
Und Spybot durchsucht Dateien wie XX Dialer, Beate Uhse oder XXXTeen, aber er sagt am Ende des Such laufs keine Kritischen Objekte gefunden!(Komisch finde ich das trotzdem)
Anti Vir findet nix.

Aber trotzdem herrscht auch noch das Hardwareproblem das die Auslastung der CPU so schwanken lässt! Immer mal mit einem anderen Prozess! (Manchmal fahre ich ihn 3 mal hoch und dieser Fehler ist nicht da und manchmal fahre ich ihn 3mal hoch und dieser Fehler kommt jedesmal!

Einen MBR Virus schließe ich aus da Anti Vir ja anfangs diesen kontrolliert und dort aber nichts findet!

Wie ernst sind Warnungen bei Anti Vir zu nehemen?

 

[petervonna]

Ehm, nur eine kleine Frage ...
warst du jetzt schon im Internet, bevor du das SP2 installiert hast?
Weil ich da was von Updates lese...

Du solltest lieber erst ins Internet gehen,
wenn SP2 und die nachfolgendenen Windows-Updates auf deinem Rechner installiert sind.

 

[sens.sash]

Ja war leider schon im netz.Aber nur um die Updates zu machen!
Habe ja jetzt auch nix weiter gefunden!
Muss mir lieder das SP2 von nem Kumpel besorgen da ich ISDN habe.
Aber das geschieht noch heute und bis dahin gehe ich nicht weiter ins Netz!

Welches Update für Windows soll ich dann noch machen?

Was ist mit den anderen Fragen?

 

[Spielkind]

Das SP2 für Windows ist eine Sammlung von Programmupdates und Produktverbesserungen zu einem gewissen Zeitpunkt. Windows wurde seit der Veröffentlichung des SP2 seitens MS regelmäßig gepflegt (Patchday). Wenn du nur ISDN hast würde ich mir von einem Bekannten neben dem >SP2< auch eine Patchsammlung, z.B. von >Winboard< saugen und brennen lassen. Die Patchsammlung die zusätzlich zum SP2 installiert wird hat ca. 76MB Größe.

SP2 geht auch mit ISDN zu saugen. Dauert seine Zeit. Wichtig ist hier einen Download Manager zu verwenden.

Ein Sicherheitscenter ist Bestandteil des SP2. Dies beinhaltet u.a. eine Softwarefirewall. Im Prinzip ist dann die ZoneAlarm Firewall nicht mehr notwendig.

Zu der schwankenden CPU- Last kann ich jetzt nix sagen. Die ist bei mir im Leerlauf auch nicht immer gleichbleibend. Hast du vielleicht Hardwarekonflikte im Gerätemanager? Dein System ist ja neu formatiert, sollte doch also noch Virenfrei sein.

Einen MBR- Virus kannst du imo nur dann ausschließen, wenn du deine Festplatte z.B. mittels fdisk neu partionierst und du so den MBR neu schreibst. Du hattest aber im Vorfeld den Trojaner SdBot drauf. Das ist was anderes.

Früher war AntiVir bekannt für Fehlalarme. Zwischenzeitlich kann man aber AntiVir eine gute und zuverlässige >Erkennungsrate< bescheinigen. Warmmeldungen, also auch potentielle Fehlalarme sollte man stets ernst nehmen.

 

[petervonna]

"Dein System ist ja neu formatiert, sollte doch also noch Virenfrei sein."


Na ja, aber er war ja jetzt schon mit einem ungepatchtem Win XP im Internet.
Sollte das nicht für eine mögliche Infektion (was auch immer) reichen?

 

[Spielkind]

Ja. Das kann reichen. Wie ich heute gelesen hab, gibt es einen neuen Bot, der Windowssicherheitslücken ausnützt und den Rechner infiziert. Ohne Hardware-/ Software- Firewall und/ oder konfigurierte Dienste und ohne SP2 inkl. aller Patche ist die Gefahr da, das das System u.U. infiziert wird. Da ja die Zone Alarm Firewall drauf war, gehe ich aber davon aus, das das System virenfrei sein sollte.

 

[sens.sash]

Also nach dem ins Inet gehen habe ich die checks gemacht!
d.h. das System ist Virenfrei!
Zone Alarm werde ich dann runterschmeissen!
Es ist auch eine Hardware Firewall aktiv.Sp1 war schon im Windows setup enthalten!

Beim ersten hinsehen gibt es keine Konflikte im Gerätemanager. Ich schaue morgen aber nochmal genauer.

das einzisgte was ich nicht verstehe ist auf meinem Rechner habe ich weder SP1 SP2 oder andere Programme und das seit Jahren (lediglich eine Hardwarefirewall und einen aktuellen Virenscanner) und bei mir habe ich heute gerade mal 2 Backdoorprogramme gefunden.
(zwar zwei zuviel aber jetzt bin ich ja schlauer)

aber zum Vergleich:

bei dem Rechner waren es mehr als 10 Viren und 500bedrohliche Produkte innerhalb eines Monats.
Und die Internet aktivität ist bei meinem Rechner wesentlich höher und auch gefährlicher da ich doch mal auf ominösen Seiten lande.

Warum seit Jahren bei mir alles okay und bei dem rechner innerhalb eines Monats soviel???

nochmal zu den Warnungen: Meistens sind das Archive die sich nicht öffnen lassen...
Und das sind auch richtig viele.

 

[Spielkind]

Du hast ISDN und ne Hardwarefirewall? Erkläre bitte wie das zusammenpaßt? Im SP1 gab es eine Firewall? Wenn ja, ist es eine Softwarefirewall. Man sollte trotzdem das SP2 draufspielen und die Windows-Firewall aktivieren. Und wie oben empfohlen, alle seid dem SP2 herausgekommenen Patche und Updates.

Wie du hast Viren gefunden? Oben schreibst du wärst Virenfrei?

Augenscheinlich surfst du mit dem IE? Hast du schon einmal den alternativen Browser Firefox ausprobiert? Dieser hat hinsichtlich der Sicherheit Vorteile gegenüber dem IE >Klick<.

Smash hat sich mit seinem [How to] Save my XP viel Arbeit gemacht: >Klick<. Da kann man durchaus den einen oder anderen Tip herausziehen.

Virenscanner geben Warnungen aus, wenn sie z.B. an einer gepackten Datei scheitern, diese nicht entpacken und so deren Inhalt nicht scannen können. Normalerweise ist das kein Problem, wenn du die Datei kennst. Hierzu nach dem Scannen das Log von AntiVir durchschauen.

 

[sens.sash]

Die Hardware Firewall befindet sich in der Fritz ISDN Karte!!!

Das SP1 eine Firewall ist oder wäre davon sprach ich nicht...
ich sagte lediglich das dieses Sicherheitsupdate seit dem Install drauf sei!

Als ich die Viren fand war das noch vor dem formatieren!(steht dort alles)
Unterteilt: 1x mein eigener Rechner
1x der Rechner den ich abgekaut habe

Den Firefox Browser habe ich mir gezogen und installiert, ab gestern läuft alles mit diesem Browser.

Die Archive sind immer im Ordner "Dokument & Einstellungen" und mir meistens nicht bekannt! Sie sind aber über den Explorer auch nicht zu finden obwohl ich "versteckte Dateien anzeigen" an habe.

Ansonsten trotzdem Danke...

 

[sens.sash]

.........???

 

[Spielkind]

Im Ordner Dokumente und Einstellungen sind doch per default auch die Eigenen Dateien für jeden Benutzer von Windows XP abgelegt. Wo sind die bemängelten Archive den abgelegt? AntiVir gibt ja im Protokoll den Speicherort der beim Scannen übersprungenen Dateien an. Um alle Dateien und Ordner anzuzeigen muss im Windows Explorer dies eingestellt werden:

"Extras" - "Ordneroptionen" - "Ansicht" - Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren - "OK".

Verstehe nicht, das die Dateien nicht angezeigt werden, wenn du die oberen Einstellungen vorgenommen hast.

Bei dir unbekannten Dateien kann Google dein Freund sein. Suche doch anhand der Dateinamen ob die Archive im Zusammenhang mit Viren o.ä. genannt werden.

Das in einer Fritz- Karte ne Hardwarefirewall drin ist, ist mir neu (dabei hatte ich selbst jahrelang eine). Im SP2 ist dann eine Softwarefirewall integriert.