Sammelthread: Meldungen über Viren/Trojaner/Malware - User helfen Usern

[fernbedienung712]

Hatte viele Browserfenster geöffnet, Herkunft ist mir also erst im Nachhinein klar geworden. Java hat automatisch gestartet, Benutzerkontensteuerung hat gefragt ob "setupganzvielezahlen.exe" aus ich glaub C:\User\cm\AppData\Local\Temp Veränderungen vornehmen darf, was ich mehrfach verneint habe.

So wars bei mir auch, danach waren im Taskmanager noch ca. 50 Windowsprozesse die anscheinend sich ausführen wenn sich ein Prog. installieren will
Benutze Win Vista, Firefox 4 und Avira AntiVir, welches aber nichts gemerkt hat

 

[NeverAgain]

Viel neues kann ich nicht beitragen:

Vista mit aktuellen Patches,
FF 3.6.xx (neueste version des veralteten Firefox)
Avira kostenlos, aber aktuell.

Browser nach Start des Rechners gestartet, URL vom Forum eingegeben und angemeldet.

Titelscreen von Java öffnet sich und legt sich in die mini-Taskleiste rechts unten.

Virusmeldung durch Avira sofort, dann auf "entfernen" geklickt.

Wenige Momente später der Hinweis, dass setup_ganzvielezahlen.exe was tut, dann sofort die Frage vom Vista, ob dies denn erlaubt werden soll.
Auf nein geklickt, dann war Ruhe.

Browser zu, Browsercache wird geleerrt.

Vollscan des Rechners mit Avira, kein Befund. Neustart ergibt keine Probleme.

Also haben die Sicherungsmechanismen vom Vista zusammen mit Avira gegriffen. Insoweit bin ich zufrieden. Das war meine erste ernsthafte Begegnung mit einem Trojaner.

Gruß
Never

 

[das_tanzende_ES]

Bei mir hatte der Angriff auch keine schwerwiegenden Folgen bis jetzt, ein kompletter Scan steht aber noch aus. Avira schlug sofort an.

Die Datei 'C:\Users\X\AppData\Roaming\5012\components\AcroFF.dll'
enthielt einen Virus oder unerwünschtes Programm 'TR/Spy.Agent.bpum' [trojan].

Windows 7 64Bit Home Premium
Java 6.0.24

Es grüßt das ES

 

[Drehmo]

Gestern beim erscheinen des Popups "installation von ***setup.exe erlauben" habe ich dieses verneint.
Win7 + Firefox4 + Antivir (welches immer noch nix findet )

Nach einem Scan findet Anti Malware Bytes folgendes:

Infizierte Dateien:
c:\Users\****\AppData\Local\Temp\setup1627449428.exe (Rootkit.TDSS.Gen) -> No action taken.
c:\Users\****\AppData\Roaming\Adobe\plugs\mmc8344718.txt (Rootkit.TDSS.Gen) -> No action taken.
c:\Users\****\AppData\Local\Temp\0.18896408604809634.exe (Trojan.Dropper) -> No action taken.
c:\Recycle.Bin\recycle.bin.exe (Trojan.SpyEyes) -> No action taken.
c:\Users\****\AppData\Roaming\Adobe\plugs\mmc46.exe (Trojan.Agent) -> No action taken.
c:\Recycle.Bin\config.bin (Trojan.Spyeyes) -> No action taken.

Neuinstallation? Gut das ich ein Image habe, natürlich leider kein aktuelles.

 

[Gast_83543]

Das einzig Richtige nach einem Virus ist eine komplette Neuinstallation/Image. Alles andere ist komplett unsicher, egal, was Virenscanner-Hersteller versprechen. Infos dazu sind hier:

http://technet.microsoft.com/en-gb/library/cc512587.aspx

Wer immer noch mit Administrator-Rechten arbeitet, sollte sich klar machen, wie gefährlich das ist:

http://winsicherheit.funpic.de/

 

[detwaxy]

ich hatte das problem auch.

war grade was am installieren, da mopperte antivir - rechner war dann plötzlich tot.


Windows 7 (aktuelle Updates)
Firefox 3.6 (aktuellste 3.6er Version)
Avira (wird täglich automatisch upgedatet)
Windows-Firewall

ich hab dann c neu aufgsetzt und zum glück alle dateien, emails und co auf d

 

[ekin06]

Also gestern wollte Chrome auf der Startseite irgendein Javascript Code ausführen, dass habe ich natürlich verneint.
Antivir hats aber nix bemerkt...

Heute hab ich von der Security-Nachricht gehört und einen Virenscan gemacht.

Folgender Fund:

Begin scan in 'C:\' <OCZ Vertex 2 Extended>
C:\Users\xxx\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\55\130c7a37-4ca191ab.VIR
[0] Archive type: ZIP
[DETECTION] Contains recognition pattern of the JAVA/Agent.10515 Java virus
[NOTE] A backup was created as '480a8b2e.qua' ( QUARANTINE )
--> ClassPol.class
[DETECTION] Contains recognition pattern of the JAVA/Agent.1184 Java virus
--> padle.class
[DETECTION] Contains recognition pattern of the JAVA/Agent.1504 Java virus
--> hubert.class
[DETECTION] Contains recognition pattern of the JAVA/Agent.4794 Java virus
--> CusBen.class
[DETECTION] Contains recognition pattern of the JAVA/Agent.7976 Java virus
--> Trollllllle.class
[DETECTION] Contains recognition pattern of the JAVA/Agent.4653 Java virus
--> Clrepor.class
[DETECTION] Contains recognition pattern of the JAVA/Agent.1113 Java virus
--> Cload.class
[DETECTION] Contains recognition pattern of the JAVA/Agent.3130 Java virus
--> novell.class
[DETECTION] Contains recognition pattern of the JAVA/Agent.838 Java virus
--> huiak.class
[DETECTION] Contains recognition pattern of the JAVA/Agent.10515 Java virus

Ok, habe grad gleich noch einen Scan hinterhergeschoben... und er findet wieder was... ähnliche Datei, selber Virus.

 

[nototious]

Danke für den Hinweis auf das Datum, hat ein Mod bereits erledigt. Ich freue mich auf weitere Berichte. Vielleicht wäre ein weiterer Hinweis ganz oben im Forum angebracht, manche Nutzer wissen vielleicht garnicht, dass der Absturz des eigenen Computers direkt oder indirekt mit dem DSLR-Forum zu tun hat, daher erbitte ich auch hierzu die Hilfe der Boardleitung und der Moderatoren.

Liebe Grüße
Benny

 

[Gast_108416]

Kein Befall weil Linux (als Gast in VM, Host ist Win7-x64).

Frage aber allgemein an die Boardleitung:
- Worüber kamen die infizierten Daten (Banner?)?
- Wenn sonst: alle Passwörter getauscht?

An Betroffene:
- Wer deutliche Erlebnisse mit dem Schädling hatte, sollte eine Neuinstallation in Betracht ziehen. Ein Dropper (!!) installiert beliebige Software nach. Auch welche, die den Virenscannern noch unbekannt sind. Da kann viel Software installiert werden. Denkt an Conficker.

- Wenn der Virus auf dem System ist, ist auch dem Virenscanner nicht mehr zu trauen. Ihr gebraucht eine Boot-CD. Schaut Euch mal auch "Desinfec't" aus der c't (Hier nachbestellbar!) an.

Zur Vorsicht und für die Zukunft:
- Wir haben alle viele Bilder auf den Rechnern. Manche haben auch Backups. Wer kann, sollte sich mal überlegen, nur eine VM ins Netz zu lassen. In der aktuellen c't gibt es mehrere Artikel dazu!

 

[Siko]

Das ganze ist für mich z.Z. ein echter Tiefschlag. Wenn ich das System neu aufsetze werde ich das Forum vorerst nicht mehr besuchen.

 

[r.r.]

Forumsbesuch bis zum Update der Forumssoftware nur noch in Sandboxie.

 

[Gast_108416]

Das ganze ist für mich z.Z. ein echter Tiefschlag. Wenn ich das System neu aufsetze werde ich das Forum vorerst nicht mehr besuchen.

Es ist ja keine Verpflichtung, Dennis, aber wenn ein System korrumpiert ist, ist es nur begrenzt vertrauenswürdig. Ich habe 50000 Bilder auf dem Rechner. Zwar zwei mal mit Backups (eines ausgelagert), aber was hilft das Backup, wenn der Schädling z. B. anfängt, jede gefundene (wertvolle) Datei verschlüsselt. Sowas gibt es immerhin.

Das ist eine Entscheidung, die jeder für sich treffen muss, in Abwägung von Gefährdung, Zeitaufwand und Zukunftsrisiko.

Meine Systeme sind bisher immer schädlingsfrei gewesen. Die Rechner, die ich hier von anderen zum Flicken hatte, habe ich aber alle neu aufgesetzt. Die waren zu verwanzt.

 

[pgs]

XP pro SP3, Opera, eingeschränkter Useraccount: Kein Befall. Ab gestern schreibe ich hier aus einer VM.

mfg, pgs

 

[Thunderclap]

Wichtig:

- Zur Virensuche ausschliesslich Notfall-CDs mit Virenscanner verwenden! Ein Virenscanner, der unter einem kompromittierten Windows läuft wird mit grosser Wahrscheinlichkeit vom Virus selbst manipuliert..

- Ein Virenbefall ist normalerweise kein Beinbruch... man spielt einfach das Backup vom Vortag oder der Vorwoche ein...
Vielleicht ist die ganze Sache einigen mal eine Lehre ihr Backupkonzept zu überdenken... (2 TB Backupplatte kosten keine 70€ mehr... manche geben mehr für eine einzelne Speicherkarte aus....)

 

[BTM]

Was ich mich gerade frage - hat eigentlich einer von euch, die es erwischt hat das "NoScript" Plugin installiert?

Ich hab das drauf und habe keine Meldungen bekommen, weder ein fehlendes Plugin noch eine Warnung vor irgendeiner .exe-Datei.

Eventuell hat das ja den Schädling gestoppt - ist aber nur 'ne vage Vermutung.
Oder der Kamerad hat sich gänzlich unbemerkt installiert.

Weder Avira noch TrendMicro Housecall oder die Kaspersky RettungsCD haben was gefunden.

System:
Win 7 64Bit - Firefox 4.01 - Avira free

 

[saiboT]

Also der MBR ließ sich nichtmehr so herstellen dass Windows gestartet ist. Hätte vor der Neuinstallation noch ein paar Programmeinstellungen exportiert. Aber nun wirds auch so gehen, Daten sind alle gesichert, Neuinstallation läuft...

Hat jemand Erfahrungen mit der "BitBox"?

 

[Arthur_Dent]

Ja, ich habe auch NoScript laufen, und nur die Domain dslr-forum.de erlaubt. Alles andere (z.Zt. etwa adtiger.de und viglink.com) sind geblockt.

Bei mir war bisher auch kein Schädling drauf, obwohl ich keinen permanenten Virenscanner oder eine Firewall (abgesehen von der im Router) laufen habe. Ich scanne nur manuell so etwa einmal die Woche, in den letzten Tagen natürlich verstärkt und mit verschiedenen Programmen.

Windows Server 2003 SP2, alle Sicherheits-Updates.

 

[IcheBins]

Falls ein Betroffener Zugriff auf C't-Hefte hat, wäre das Projekt Desinfec't eine weitere Möglichkeit zur Analyse/Abwehr. Die notwendige DVD lag der Ausgabe 8/2011 bei.


Grüße,
IcheBins

 

[Gast_108416]

Falls ein Betroffener Zugriff auf C't-Hefte hat, wäre das Projekt Desinfec't eine weitere Möglichkeit zur Analyse/Abwehr. Die notwendige DVD lag der Ausgabe 8/2011 bei.

Bestellmöglichkeit für vier Virenscanner (Avira, Bitdefender, Kaspersky, ClamAV) auf Boot-CD (Linux) für 3,70 € ist oben verlinkt.

 

[Spider-Schwein]

Bei denen sich, was installiert hat oder wollte können das mal laufen lassen.
www.heise.de/security/dienste/Update-Check-877012.html