Hallo,

gestern rief mich ein Freund an, der weiter weg wohnt, und schilderte mir telefonisch folgendes Problem:

1. Auf seinem Desktop (Windows 2000) hätten sich willkürlich verschiedene Icons zu Programmen verändert
2. Sein Posteingang (Outlook/T-Online-Zugang) sei plötzlich LEER, obwohl er sicher gewesen sei, dass da noch über 10 Emails gespeichert gewesen wären
3. Auf meinen Rat hin, die aktuelle Version von AntiVir Pers. Edition kostenlos runterzuladen und zu installieren, um nach Virenbefall zu suchen (mir fiel kein Besseres ein), tat er dies - und eben rief er mich an:

BEIM VERSUCH ANTIVIR ZU INSTALLIEREN, ERSCHIEN EIN DOS-FENSTER, IN DEM SO EIN ÄHNLICHER TEXT STAND WIE: "Guten Tag, schön, dass Sie AntiVir versuchen zu installieren...blabla", DER BILDSCHIRM WURDE SCHWARZ UND DER PC FROR EIN.

4. In verschiedenen Windows-Programmen sind bestimmte Befehlsleisten verschwunden bzw. es steht irgendwelcher 'Blödsinn' darin.

5. Format C: scheint seine letzte Alternative zu sein, bevor ich jedoch eine weite Reise in Kauf nehme und womöglich sensible Daten bei ihm komplett lösche (er scheint nicht in der Lage zu sein, selber die Festplatte zu formatieren, da er leider etwas unbeholfen ist), würde ich gerne wissen:

Deuten diese Informationen auf eine typische Art von Trojaner/Virus hin? (Ich denke mal, mit 100%iger Sicherheit, aber vielleicht habt ihr genauere Hinweise, könnt das besser einkreisen).

Wisst ihr Problembekämpfungsalternativen?

Die Trojaner-Info ist sehr informativ, überfordert mich allerdings im Moment etwas mit technischen Details und ich würde meinem Kumpel gerne bald helfen.

Vielen Dank für hilfreiche Vorschläge/Feststellungen im Voraus.

Beste Grüße aus Niedersachsen,
Rainer
aka
51Days

[ 31. Juli 2003, 14:44: Beitrag editiert von: 51Days ]

Hallo 51Days,

ich finde die beschriebenen Anzeichen so unspezifisch, dass ich beim besten Willen keinen bestimmten Trojaner oder Virus vermuten kann.

Warum macht er nicht mal einen Trend Online Scan oder etwas Vergleichbares?
Trend Micro Housecall

Eine Datensicherung sollte so schnell wie möglich gemacht werden, insb. vor allfälligen Virusreparaturversuchen.

Wurde schon nach einem Festplattenfehler gesucht? Ich würde man einen intensiven Scandisk machen.

Als weitere Möglichkeit bliebe noch die Installation eines Virenscanners im abgesicherten Modus. Hier bitten sich z. B. die Trialversionen von NOD 32 v 2.0 oder Kaspersky AV an.

Ich würde auf einen Trojaner tippen, würde das DOS Fenster erklären. Also am besten AV Programm auf irgendeinem extra PC runterladen und dann wenn der PC offline(also nicht im INet) ist installieren.

Und www.trojancheck.de runter laden und den Bericht mal hier posten. Es muss ja definitiv was im Hintergrund laufen, denn sonst kann nicht erkannt werden was installiert wird.....

/nachtrag: War er eigentlich zu dem Zeitpunkt der installation im INet?

Björn [img]graemlins/teufel3.gif[/img]

Eine andere Alternative wäre die Nutzung von AntiVirus Disketten oder CDs, wie sie zum Beispiel mit KAV oder AVK herstellbar sind. Eine andere Möglichkeit ist eine derartige CD mit FProt selber zu erstellen( Englische Anleitung ) oder FProt von Diskette zu nutzen (Deutsche Anleitung) . Dies ist auf jeden Fall eine Möglichkeit, die man vor der Formatierung nutzen sollte. Ob AntiVirus Disketen/CDs auch mit der jeweiligen TrialVersion herstellbar sind, entzieht sich leider meiner Kenntnis. Die AntivirusStartMedien sollten mit einem "sauberen" Computer erstellt werden und geben so die Möglichkeit, den Computer über diese Diskette/CD zu starten und den Computer nach Viren zu untersuchen und evtl zu säubern oder zumindest den genauen Schädling festzustellen.
Para

Hallo,

wow, Danke für die schnelle Rückmeldung. Super hier.

@ALL: Er war, so denke ich, NICHT im Internet (also OFFLINE), als er versuchte, AntiVir zu installieren.

@Fata Morgana: Ja, das habe ich mir schon gedacht, dass da pauschal wohl doch keine Einschätzung eines bestimmten Virus in Frage kommt. Für deinen Hinweis auf 'Trend Micro' bin ich dankbar, da ich in Viren-/Trojaner-Bekämpfungsmethoden absolut keine Ahnung habe (wusste nicht, dass es so etwas gibt ). Zu 'Scandisk' habe ich ihm auch geraten, hat er auch gemacht: war alles in Ordnung.

@Lucky: Yo, vielen Dank für den Tipp, dass es wohl eher ein Trojaner ist. Habe mir selber, nachdem ich ein bisschen bei Trojaner-Info gesurft bin, eben sicherheitshalber mal TFAK runtergeladen. Das werde ich auf Diskette ziehen und mit zu ihm hin nehmen, bevor irgendwas formatiert wird. Und Trojancheck auch Da muss doch was zu machen sein...

@Paranoia: Ja, sauber sollte der Computer sicherlich sein, bevor man AntiVir oder so was raufspielt, im Moment hatte er jedoch keine andere Wahl

Die Sicherheits-Boot-CDs zum Virencheck sind eine gute Idee...ich glaube, mein Kumpel war ziemlich nachlässig, was Sicherheitsmaßnahmen angeht.

Ich halte euch auf dem laufenden und schaue hier öfters rein...für alle weiteren guten Tipps wie immer Danke im voraus...

Gruß
Rainer
aka
51Days

Bitte noch beachten, dass Dein Freund auf seinem Win-2000-System wahrscheinlich das Dateisystem NTFS benutzt. Somit kommen einige der o. g. Bootmedien nicht in Betracht, da Zusatztools nötig sind und die nötige Zuverlässigkeit nicht gewährleistet ist. Das gilt insbesondere für die Bootmedien, die unter dem Betriebssystem MSDOS laufen.

Scandisk? Scandisk ist zur Behebung von Dateisystemfehlern da, und nicht um irgendwelche Malware aufzuspüren, da das DOS Fenster aufging und der Text drin verkam, kann man Dateisystemfehler eigentlich ausschliessen.

Was das genau war, kann man im moment noch nicht sagen, ich denke aber das es ein Trojaner war/ist, denn ich kenne im moment keinen Virus der solche Texte ins DOS Boxen schreibt.
Aber ausgeschlossen ist das natürlich auch nicht... [img]smile.gif[/img]

Lade dir am besten auch noch TrojanHunter runter: http://www.misec.net/

Und wie gesagt den Bericht von TrojanCheck am besten hier posten. Nimm am besten auch noch KAV mit. Und NOD wäre auch nicht schlecht.

/nachtrag: NTFS ist aber nicht unbedingt eine Vorraussetzung... FAT32 geht unter Windows2k auch.... Sollte es aber NTFS sein, dann hat FataMorgana recht, dann muss eine andere Methode fürs Booten per Diskette gefunden werden.

Björn [img]graemlins/teufel3.gif[/img]

hallo 51days,
Ein Antivirus-Programm auf einem bereits befallenen Rechner zu installieren ist nicht einfach.
ich kann folgendes raten:
1. Im abgesicherten Modus (F8 beim booten) starten.
2. Temp+TemporaryInternetFiles(dito Cache)+Papierkorb leern.
3. Versuchen, AVPE zu installieren.
Wenn nicht funktioniert:
dem Link in meiner Signatur folgen, dann beim P.1. PCFlank... oder P.2 GFI...Trojan-Online-Scan machen. Bei P.3 Av-Online.. landest du an der Seite von Rokop-Security, von der sind noch Bitdefender und Panda - Online Virenscanner verlinkt.Unter dem P.4 kannst du den Startup-Manager herunterladen, der zeigt welche Programme sich im Autostart befinden, sowie welche Prozesse laufen.
Link zum TrendMicro hat FatsMorgana bereits gepostet: ist ein sehr guter Online Scanner.
Wenn du irgendein Scan-Protokoll hier posten könntest, wäre es sehr hilfreich ...

Was du auch machen könntest wäre z.B einen Freund/Bekannten zu bitten, sich mal eine Testversion von AVK 12 zu ziehen und dann mit dieser (falls es in der Testversion schon klappt) eine Boot CD mit den aktuellen (!!!!) Signaturen zu brennen.
Diese dann einlegen. Es wird ein Linux gestartet und das AV Proggi scannt los.
Wenn dein Kumpel an irgendwelche wichtigen Dateien nicht mehr unter Windows rankommt, würde ich es mit Knoppix versuchen. Das ist eine Live-Linux CD, die du nur einlegen und damit booten musst.
Dann kann man unter Linux auf die festplatte zugreifenund die wichtigen dateien auf Diskette/Flashstick was auch immer packen.
Wenn sein System wieder sauber ist, würde ich aber ehe er die Daten wieder auf den PC packt nochmal scannen....kann ja sein, dass die auch infiziert sind.
Viel Glück

Hallo,

es ist ja schon eigentlich alles gesagt... [img]smile.gif[/img]

Ich würde vielleicht einfach auf meinen eigenen sauberen Rechner KAV-4.5
ftp://ftp.kaspersky.com/products/rel...AVPersonalPro/
installieren, updaten, und zum Kumpel mitnehmen. Tipps zur Installation sind z.B. hier gegeben:

http://www.x-nightwolf.de/c_tipps_kav.html
(gute KAV-FAQ, gilt sinngemäß auch für KAV-4.5)

http://www.trojaner-board.de/forum/u...c;f=4;t=002166

http://www.trojaner-board.de/forum/u...6;t=003934;p=1
(lange Geschichte...)

Dann würde ich die Festplatte vom Kumpel als Slave (oder auch als Master am anderen IDE-Port) in meinen Rechner reinhängen (eventuell im BIOS die Festplatten auf AUTODETECT einstelen, wenn die Kumpelplatte nicht erkannt werden sollte). Ja, und dann eben mit KAV-4.5 die Kumpelplatte scannen und den Report (nur die infizierten Dateien... ) hier posten.

Ach ja, das ginge natürlich nur, wenn Du Win2000 oder XP hast und somit NTFS-Festplatten lesen kannst, oder wenn die Kumpelplatte trotzdem er Win2000 hat in FAT32 formatiert ist (möglich, aber unwahrscheinlich). Siehe dazu sinngemäß FataMorganas Posting...

Hendrik

Ich habe eben auf der Seite
http://www.winguide.ch/downloads.htm
Ein Tool gefunden, um auch unter Win98 NTFS-Platten lesen zu können:
NTFS for Windows 98 1.03

Beschreibung: Unter Windows95/98 hat man mit diesem Tool Zugriff auf das NTFS-Dateisystem. Allerdings gibt es nur Lesezugriff. Die erweiterte Version erlaubt auch das Schreiben von Dateien.

Produkt: Shareware, Windows95/98SE

Sprache: Englisch

Download: http://www.winguide.ch/tools/ntfs98ro.exe

Ich habe das nicht selber getestet...

Hi,

wow!!!! Da sind ja noch einige gute Tipps hinzugekommen [img]smile.gif[/img] Morgen (Sonntag) Abend wird mein Kumpel den PC bei mir vorbeibringen und dann werde ich mich mit meinem 'Arsenal' [img]graemlins/crazy.gif[/img] an Programmen, die ich aus euren Tipps erfahren habe, bewaffnen und dem Virus/Trojaner den Garaus machen [img]graemlins/kloppen.gif[/img]

Ergebnisse gibt's dann hier !!!!

Bin ich euch ja schuldig....bin schon recht gespannt.

Jetzt werde ich mich noch mal auf eure angegebenen Links und Programme stürzen (*puh, ganze Menge, *SchweißvonderStirnwisch*)

Auf dann - Gruß - und Danke nochmals
Rainer
aka
51Days

</font><blockquote>Zitat:</font><hr />Original erstellt von Lucky:
Scandisk? Scandisk ist zur Behebung von Dateisystemfehlern da, und nicht um irgendwelche Malware aufzuspüren, da das DOS Fenster aufging und der Text drin verkam, kann man Dateisystemfehler eigentlich ausschliessen.</font>[/QUOTE]Diese Argumentation finde ich äußerst merkwürdig. Ich weiß schon, was Scandisk ist. Aber ist das nicht ein voreiliger Schluss? Das DOS-Fenster kam von AntiVir PE und könnte evtl. unabhängig von den anderen Problemen aufgetreten sein. Außerdem vergibt man sich durch Scandisk nicht.

Zu den Problemen mit AntiVir PE wäre noch anzumerken: Es gibt massive Probleme bei dem Versuch, AntiVir PE auf einem System mit nvidia-Grafikkarte und Treibern im Bereich vor 41.09 (bis ca. 3x.xx) zu installieren. In so einem Fall kann es helfen, den neuesten nvidia-Treiber zu installieren.

</font><blockquote>Zitat:</font><hr /> NTFS ist aber nicht unbedingt eine Vorraussetzung... FAT32 geht unter Windows2k auch... </font>[/QUOTE]Lies mein Posting mal bitte genau. Ich habe es eigentlich ganz zutreffend formuliert. Hilfreich wäre in diesem Fall natürlich zu wissen, welches Dateisystem tatsächlich verwendet wird.

Bei mir ist noch nie ein DOS Fenster von AVPE aufgemacht worden...
Du hast aber gelesen das ein Text in dem DOS Fenster stand? "Guten Tag schön das sie AVPE installieren zu versuchen"? Das macht AVPE nicht....
/nachtrag: Jedenfalls machen das bei mir die Version nicht, die ich bisher unter 98SE,2k und XP installierte.

Mit Scandisk gib ich zu war etwas überreagiert... Aber DOS Fenster macht AVPE nicht auf.... [img]smile.gif[/img]

Björn [img]graemlins/teufel3.gif[/img]

[ 03. August 2003, 10:24: Beitrag editiert von: Lucky ]

</font><blockquote>Zitat:</font><hr />Original erstellt von Lucky:
Bei mir ist noch nie ein DOS Fenster von AVPE aufgemacht worden...</font>[/QUOTE]Na ja, der AVGuard z. B. macht dies schon, zumindest unter Win 9x (bei NT-Systemen weiß ich es nicht genau).

Und wenn ich mich recht erinnere, kann bei dem Grafikkarten-Kompatibilitätstest auch ein DOS-Fenster erscheinen.

Also, die Aussage, dass AVPE niemals ein DOS-Fenster öffnet, ist definitiv falsch. Dazu kenne ich das Prog. zu gut.