Hallo,
nachdem mir meine Norton Personal Firewall den Trojaner BLA gemeldet hat, habe ich mein System mit folgenden Programmen komplett durchsucht: (1) mein Antivirenprogramm CA eTrust Antivirus, (2) AdAware SE Personal, (3) Spyware Doctor, (4) Spybot Search & Destroy. Ohne Ergebnis! Die Programme haben nichts gefunden.
Dann bin ich auf der Recherche nach Informationen zu BLA auf dieses Forum gestoßen und habe mit Hilfe der Anleitung zu eScan AntiVirus mit ebendem Programm nochmal gescannt (hat geschlagene 2,5 Stunden gedauert > ist das normal?).
Ergebnis: "Total Virus(es) Found: 20". Leider kann ich die Virus Log Information nicht beurteilen, d.h. ich weiß nicht, ob mein PC jetzt tatsächlich mit 20 Viren verseucht ist und wenn ja, könnte ich ihre Schadfunktion schlecht beurteilen.
Dewegen möchte ich gerne das Angebot annehmen, die Virus Log Information hier analysieren zu lassen. Es wäre toll, wenn mir jemand weiterhelfen könnte:

ANFANG eScan_neu.txt
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Sat Jul 16 17:54:19 2005 => System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Sat Jul 16 17:54:23 2005 => System found infected with CWS.therealsearch Spyware/Adware (waol.exe)! Action taken: No Action Taken.
Sat Jul 16 18:11:51 2005 => Scanning File C:\Programme\CA\eTrust Antivirus\Lang\German\Help\inocit\curing_an_infected_file_after_a_scan.html
Sat Jul 16 18:11:52 2005 => Scanning File C:\Programme\CA\eTrust Antivirus\Lang\German\Help\inocit\deleting_an_infected_file_after_a_scan.html
Sat Jul 16 18:11:57 2005 => Scanning File C:\Programme\CA\eTrust Antivirus\Lang\German\Help\inocit\infected_files.html
Sat Jul 16 18:11:57 2005 => Scanning File C:\Programme\CA\eTrust Antivirus\Lang\German\Help\inocit\infected_files_02.html
Sat Jul 16 18:11:57 2005 => Scanning File C:\Programme\CA\eTrust Antivirus\Lang\German\Help\inocit\infected_object.html
Sat Jul 16 18:11:59 2005 => Scanning File C:\Programme\CA\eTrust Antivirus\Lang\German\Help\inocit\moving_an_infected_file_after_a_scan.html
Sat Jul 16 18:12:07 2005 => Scanning File C:\Programme\CA\eTrust Antivirus\Lang\German\Help\inocit\remove_infected_macros.html
Sat Jul 16 18:12:07 2005 => Scanning File C:\Programme\CA\eTrust Antivirus\Lang\German\Help\inocit\renaming_an_infected_file_after_a_scan.html
Sat Jul 16 18:12:09 2005 => Scanning File C:\Programme\CA\eTrust Antivirus\Lang\German\Help\inocit\send_infected_files_only.html
Sat Jul 16 18:12:14 2005 => Scanning File C:\Programme\CA\eTrust Antivirus\Lang\German\Help\inocit\viewing_details_about_an_infected_file.html
Sat Jul 16 20:21:30 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Sat Jul 16 17:53:57 2005 => File C:\WINDOWS\Dit.exe tagged as not-a-virus:Garbage.Win32.CustomIcons. No Action Taken.
Sat Jul 16 18:28:42 2005 => File C:\Programme\Lavasoft\Ad-Aware SE Personal\Plugins\Langs\UNWISE.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Sat Jul 16 18:28:43 2005 => File C:\Programme\Lavasoft\Ad-Aware SE Personal\UNWISE.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Sat Jul 16 18:50:44 2005 => File C:\Programme\Netscape\Communicator\Program\AIM\unwise32.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Sat Jul 16 18:52:28 2005 => File C:\Programme\Opera\UnInst\UNWISE.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Sat Jul 16 19:06:33 2005 => File C:\WINDOWS\DitExp.exe tagged as not-a-virus:Garbage.Win32.CustomIcons. No Action Taken.
Sat Jul 16 19:32:41 2005 => File C:\WINDOWS\system32\Macromed\Shockwave 10\UNWISE.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Sat Jul 16 19:32:43 2005 => File C:\WINDOWS\system32\Macromed\Shockwave 8\UNWISE.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Sat Jul 16 19:46:47 2005 => File D:\Eigene Dateien\Downloads\Ad-Aware\aawsepersonal106\aawsepersonal.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Sat Jul 16 19:46:48 2005 => File D:\Eigene Dateien\Downloads\Ad-Aware\deutsche Sprachdatei\pllangs.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Sat Jul 16 19:58:31 2005 => File D:\Eigene Dateien\Downloads\Opera\ow32dede754.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Sat Jul 16 19:58:37 2005 => File D:\Eigene Dateien\Downloads\Opera\ow32dede754u2.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Sat Jul 16 19:58:44 2005 => File D:\Eigene Dateien\Downloads\Opera\ow32enen754u2j.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Sat Jul 16 19:59:37 2005 => File D:\Eigene Dateien\Downloads\Shockwave Player\Shockwave_Installer_Slim.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Sat Jul 16 20:09:55 2005 => File D:\RECYCLER\S-1-5-21-3176193235-2930277994-3408399922-1006\Dd70.zip tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Sat Jul 16 20:12:09 2005 => File D:\Tools\DiVX Video\DivX505Bundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Sat Jul 16 20:12:55 2005 => File D:\Tools\ISDN\Classic Phonetools\driver\Setup.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Sat Jul 16 20:12:56 2005 => File D:\Tools\ISDN\Classic Phonetools\Goodies\awebpro.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Sat Jul 16 20:21:30 2005 => Total Virus(es) Found: 20
Sat Jul 16 20:21:30 2005 => Total Errors: 128
Sat Jul 16 20:21:30 2005 => Time Elapsed: 02:28:11
Sat Jul 16 20:21:30 2005 => Total Objects Scanned: 106766
Sat Jul 16 17:51:48 2005 => Virus Database Date: 2005/06/24
Sat Jul 16 20:21:30 2005 => Virus Database Date: 2005/06/24
Sat Jul 16 22:12:08 2005 => Virus Database Date: 2005/06/24
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

ENDE eScan_neu.txt

Ok, das war's erstmal.

pixxma

PS: Warum haben die anderen Programme nichts gefunden???

Alles ungefährlich, weil alles "not-a-virus" ist, sondern den Rechner zum Neustarten veranlassen kann. Meist sind das Installationsroutinen.

Andere haben nichts gefunden, weil eScan halt auch solche Sachen meldet.

Gruß
Yopie

Hallo Yopie,
vielen Dank.
Aber was ist mit diesem Trojaner BLA? Könnte der noch drauf sein oder nicht?
- Habe übrigens über Deinen Signatur-Link den Aufsatz "Kompromittierung unvermeidbar?" gelesen. Hochinteressant, aber - auch in Hinsicht auf andere kritische Beiträge in diesem Forum zu Firewalls und Antiviren-Programmen - eher beunruhigend. Ich bin immer noch unsicher, ob Antivirenprogramme, Spyware-Killer, Firewalls und dergleichen mehr effektiv sein können oder nicht. Und dann die Vielzahl der verschiedenen Programme! Man stellt sich die Frage "Welches ist jeweils das Beste?" und bekommt die unterschiedlichsten Antworten bis hin zu: "Kannst Du alles vergessen!". Ich weiß nicht so recht: kann man sich neben dem eigenem 'sicherheitsbewußtem' Verhalten (wie in o.g. Aufsatz propagiert) nicht doch auch auf ein paar gute Programme verlassen? Oder ist das tatsächlich ein Irrglaube, weil die Programme allesamt zu schwach sind?
MfG
pixxma

Zitat:

Zitat von pixxma

Aber was ist mit diesem Trojaner BLA? Könnte der noch drauf sein oder nicht?

Schwer zu sagen, dazu müsste man die genaue Meldung der Firewall kennen.

Zitat:

- Habe übrigens über Deinen Signatur-Link den Aufsatz "Kompromittierung unvermeidbar?" gelesen. Hochinteressant, aber - auch in Hinsicht auf andere kritische Beiträge in diesem Forum zu Firewalls und Antiviren-Programmen - eher beunruhigend. Ich bin immer noch unsicher, ob Antivirenprogramme, Spyware-Killer, Firewalls und dergleichen mehr effektiv sein können oder nicht.

Firewalls: Nein
AV-Scanner: nur als Hilfsmittel. Wer sich darauf verlässt und Verantwortung abschieben will, der ist bald verlassen.

Zitat:

Und dann die Vielzahl der verschiedenen Programme! Man stellt sich die Frage "Welches ist jeweils das Beste?" und bekommt die unterschiedlichsten Antworten bis hin zu: "Kannst Du alles vergessen!". Ich weiß nicht so recht: kann man sich neben dem eigenem 'sicherheitsbewußtem' Verhalten (wie in o.g. Aufsatz propagiert) nicht doch auch auf ein paar gute Programme verlassen?

Du kannst dich nicht auf Meldungen von AV-Programmen verlassen.
Wenn das AV-Programm einen Virus meldet, kann es auch ein Fehlalarm sein. Und wenn das AV-Programm nichts meldet, dann kann es sein, das der Virus einfach noch nicht erkannt wird.

Zitat:

Oder ist das tatsächlich ein Irrglaube, weil die Programme allesamt zu schwach sind?

Einige AV-Programme sind schon recht gut. Nur können sie alle nicht das leisten, was sich manche von ihnen versprechen. Wer die generellen Schwächen von AV-Scannern kennt, der schätzt ihre Schutzwirkung realistisch ein. Das führt automatisch zu einem bewussteren Umgang mit allem, was potentiell gefährlich sein könnte. Und der wird irgendwann keine Schutzsoftware als löchrige Absicherung mehr brauchen. Das merkst du spätestens dann, wenn sich der AV-Wächter nur noch bei Fehlalarmen meldet.

Gruß
Yopie

Hallo Yopie,
zu BLA und meiner Norton Personal Firewall: über den Vorgang finde ich in den Protokollen nur noch folgende Meldung:
"Regel 'Standard Bla blockieren' blockierte (...)
Eingehendes UDP-Paket
(...)
Prozessname ist 'N/A' ".
Sagt Dir das 'was?
pixxma

Hatte heute die gleiche Meldung von Norton Internet Security 2006.

Scheint auch andere schon getroffen zu haben:
http://www.trojaner-board.de/archive/index.php/t-17078.html
http://www.forum.windows-tweaks.info/thread.php?threadid=20078
http://www.winfuture-forum.de/lofiversion/index.php?t70742.html
http://www.bm-community.de/ptopic,35896.html
http://www.wcm.at/forum/showthread.php?threadid=101067

Ist evtl. eine Falschmeldung von Norton Internet Security?
Hier noch die Details aus dem Norton Protokoll. Vielleicht sagt einem das was.

Details: Regel "Standard Bla blockieren" blockierte (teredo.ipv6.microsoft.com(65.54.227.124),1042)
Eingehendes UDP-Paket
Lokale Adresse, Dienst ist (NAME-D00DDF2307(192.168.0.8),1042)
Remote-Adresse, Dienst ist (teredo.ipv6.microsoft.com(65.54.227.124),3544)
Prozessname ist "N/A"
Details: Standard Bla blockieren wurde erkannt und blockiert.
Die Kommunikation mit teredo.ipv6.microsoft.com(65.54.227.124) wird für 30 Minuten blockiert.