hallo leute!

der virenteufel hat leider zugeschlagen

norton antivirus meldet:

Scan type: Manual Scan
Event: Virus Found!
Virus name: Download.Trojan
File: C:\WINDOWS\system32\o
Location: Quarantine
Computer:
User: Administrator
Action taken: Clean failed : Quarantine succeeded :
Date found: Sat Feb 19 19:16:57 2005


was tun?

Hi,

scanne Dein System mal mit escan vielleicht ist ja noch mehr drauf. Ich traue dem Norton nicht so recht

Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "bases" auf "c:\". Lade den eScan runter, entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Beachte dazu die Anleitung . Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus. Der eScan braucht ca 1 Stunde. Die gefundenen Viren werden von hand gelöscht. Wir geben am Forum Anleitung dazu.


--> Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus:

=> Total Files Scanned:
=> Total Virus(es) Found:
=> Total Disinfected Files:
=> Total Files Renamed:
=> Total Deleted Files:
=> Total Errors:
=> Time Elapsed:
=> Virus Database Date:
=> Virus Database Count:
=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

--> Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)

so, habe wie empfohlen noch mal mit escan im abgesicherten modus gesucht und befürchte, dass ich ein echtes problem habe...

beim versuch die gefundenen infizierten dateien manuell zu löschen bin ich an folgendem problem gescheitert:
der ordner C:\System Volume Information, in dem sich eine der gefundenen infizierten dateien befindet, wurde erst angezeigt nachdem ich im windows explorer unter extras -> ordneroptionen -> ansicht den haken ?geschützte systemdateien ausblenden? entfernt und ?alle dateien und ordner anzeigen? aktiviert hatte (der versuch den ordner zu öffnen wurde mit einer meldung ?zugriff verweigert? quittiert)...

habe jetzt erst mal gar keine der gefundenen dateien gelöscht da ich nicht weiß, wie wichtig diese für die ?lebensfähigkeit? meines rechners sind.


hier nun die gewünschten ergebnisse des escan:

Total Files Scanned: 35921
Total Virus(es) Found: 5
Total Disinfected Files: 0
Total Files Renamed: 0
Total Deleted Files: 0
Total Errors: 6
Time Elapsed: 01:05:05
Virus Database Date: 2005/02/14
Virus Database Count: 118236
Scan Completed.


und hier die daten aus MWAV.LOG

Sun Feb 20 00:33:22 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\03A40000.VBN infected by "Trojan-Downloader.BAT.Ftp.c" Virus. Action Taken: No Action Taken.

Sun Feb 20 00:33:22 2005 => Scanning File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\03A40001.VBN
Sun Feb 20 00:33:22 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\03A40001.VBN infected by "Trojan-Downloader.BAT.Ftp.c" Virus. Action Taken: No Action Taken.

Sun Feb 20 00:33:22 2005 => Scanning File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\03A40002.VBN
Sun Feb 20 00:33:22 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\03A40002.VBN infected by "Backdoor.Win32.Rbot.hf" Virus. Action Taken: No Action Taken.

Sun Feb 20 00:33:22 2005 => Scanning File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\03A40003.VBN
Sun Feb 20 00:33:23 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\03A40003.VBN infected by "Backdoor.Win32.Rbot.hf" Virus. Action Taken: No Action Taken.

Sun Feb 20 00:52:44 2005 => File C:\System Volume Information\_restore{57066094-51E6-4399-931A-69924CE21737}\RP11\A0003255.exe infected by "Backdoor.Win32.Rbot.hf" Virus. Action Taken: No Action Taken.


was soll ich jetzt tun?


und was ist mit den ergebnissen, die norton antivirus erbracht hat?

Scan type: Manual Scan
Event: Virus Found!
Virus name: W32.Spybot.Worm
File: C:\WINDOWS\system32\svhost.exe
Location: Quarantine
Computer:
User: Administrator
Action taken: Clean failed : Quarantine succeeded :
Date found: Sat Feb 19 19:18:03 2005

Scan type: Manual Scan
Event: Virus Found!
Virus name: Download.Trojan
File: C:\WINDOWS\system32\o
Location: Quarantine
Computer:
User: Administrator
Action taken: Clean failed : Quarantine succeeded :
Date found: Sat Feb 19 19:16:57 2005


ist die erde nicht doch eine scheibe???


hiiilfe!!!

tut mir leid aber auf Deinem System war ein schlimmer Backdoor zu gange. Der sitzt jetzt zwar in dem Quarantäneordner von Norton, aber man kann nicht sagen was der schon alles angerichtet hat. Folgende Eigenschaften :
# Ermöglicht Dritten den Zugriff auf den Computer
# Stiehlt Daten
# Lädt Code aus dem Internet herunter
# Reduziert die Systemsicherheit
# Speichert Tastenfolgen
# Installiert sich in der Registrierung

Meine Empfehlung, setze Dein System neu auf, ändnere alle Deine Passwörter,
wechsle auf sichere Browser, benutze den IE nur noch für Windowsupdate, anbei ein paar nützliche Link's
Kompromittierung
System Neuaufsetzen sichere Browser

kriiise! habe gestern mein system neu aufgesetzt und ca 2h danach habe ich die virusmeldungen bekommen...

und außerdem:

meldung norton antivir heute morgen kurz vorm runterfahren:

Scan type: Realtime Protection Scan
Event: Virus Found!
Virus name: W32.Spybot.Worm
File: C:\System Volume Information\_restore{57066094-51E6-4399-931A-69924CE21737}\RP11\A0003255.exe
Location: Quarantine
Computer:
User: SYSTEM
Action taken: Clean failed : Quarantine succeeded : Access denied
Date found: Sun Feb 20 06:41:29 2005


ergebnisse des escan danach:

Total Virus(es) Found: 5
Total Disinfected Files: 0
Total Files Renamed: 0
Total Deleted Files: 0
Total Errors: 1
Time Elapsed: 01:06:55
Virus Database Date: 2005/02/14
Virus Database Count: 118236
Scan Completed.


und hier die daten aus MWAV.LOG

Sun Feb 20 11:24:54 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\03A40000.VBN infected by "Trojan-Downloader.BAT.Ftp.c" Virus. Action Taken: No Action Taken.

Sun Feb 20 11:24:54 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\03A40001.VBN infected by "Trojan-Downloader.BAT.Ftp.c" Virus. Action Taken: No Action Taken.

Sun Feb 20 11:24:54 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\03A40002.VBN infected by "Backdoor.Win32.Rbot.hf" Virus. Action Taken: No Action Taken.

Sun Feb 20 11:24:55 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\03A40003.VBN infected by "Backdoor.Win32.Rbot.hf" Virus. Action Taken: No Action Taken.

Sun Feb 20 11:24:56 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\07A40000.VBN infected by "Backdoor.Win32.Rbot.hf" Virus. Action Taken: No Action Taken.


ich befolge mal deine ratschläge auch wenns nervig ist, die ganze prozedur noch mal durchzuziehen :-(

Zitat:

habe gestern mein system neu aufgesetzt und ca 2h danach habe ich die virusmeldungen bekommen...

Dann hast du dein System nicht dementsprechend vor der ersten I-net Verbindung abgesichert. Siehe dazu Method of Distribution.

Zitat:

Zitat von Cidre

Dann hast du dein System nicht dementsprechend vor der ersten I-net Verbindung abgesichert. Siehe dazu Method of Distribution.

sieht wohl so aus. bin, bevor ich zonealarm installiert hatte, rein um meine virendefinitionen auf den neuesten stand zu bringen. dabei ist es wohl schon passiert *grr*

danke für den link aber dafür reicht mein englisch leider nicht...