Backdoor Virus "BDC/Ruledor.C
 

Auf meinem Laptop hatte ich den oben genannten Virus. Trotz Antivir, Trojancheck, Spybot habe ich das gefühl das der Virus immer noch da ist. Der Rechner ist extrem langsam und die permanete Überwachung von Antivir wird beim Start deaktiviert.
Also kurz ich brauche Hilfe :heulen:

Ach vergessen, Betriebsystem Win 2000 Ie6 letztes Update ca. 2Monate her:headbang:

Untersuche Deinen PC mit Hilfe eines HJT-Logs (siehe Signatur).

Am sichersten ist jedoch eine Neuformatierung und -Installation:
http://www.microsoft.com/technet/arc.../10imlaws.mspx
http://oschad.de/wiki/index.php/Kompromittierung

Gruß :daumenhoc
Yopie

Was ist denn für ein Tipp :kloppen: und was sollte ein Tool für Browserhijacker mit einem Virus zutun haben :headbang:

Zuerst versucht man das System noch zu retten, du format C :teufel2:

Als du den Virus gefunden hast, wieviele Dateien waren denn betroffen? Falls es Systemdateien waren kann du diese mit Hilfe eines Backups bzw. deiner Win 2000 CD wiederherstellen. Aus deiner Logdatei des Virusscanners erfährst du welche Dateien betroffen waren.

War der Virussanner schon drauf bevor du den Virus gefunden hast? Falls ja,
dürfte es daran nicht liegen! Bei deinem Problem mit Antivir, installiere das Programm noch mal neu und schmeiß Trojancheck runter, dass taugt nicht die Bohne!

Was sehr wichtig ist, unbedingt alle nötigen Patches draufspielen

Wenn ein Backdoor auf dem System aktiv ist, würde ich dem System nicht mehr vertrauen. Das sieht u.a. Microsoft ganz ähnlich, wie Du ja bestimmt gelesen hast.

Wenn der Backdoor noch aktiv ist (der OP hat das Gefühl, obwohl das AV-Programmm nichts meldet), dann wird er beim Systemstart irgendwie aufgerufen werden müssen. Das würde man (neben anderen Sachen wie Patch-Level) am HJT-Log sehen.

HTH

Gruß :daumenhoc
Yopie

@Good Luck
...Wenn man keine Ahnung hat, hält man sich von der Sache fern oder versucht, die neuen Kentnisse zu erwerben. Bei einem aktiven Backdoor-Server ist die neue Installation die einzige sichere Methode, den Rechner wieder zurück zu bekommen. Mehr dazu - Link The Ten Immutable Laws of Security in meiner Signatur und Microsoft-SecurityNG-FAQ.
Und noch was - es ist viel einfacher, den Trojaner nicht zu bekommen, als danach loszuwerden

Ein Backdoor ist kein Virus. Ein Backdoor "infiziert" daher auch Systemdateien nicht, wie man es von Viren her kennt. Somit ist es sinnfrei, Systemdateien wiederherstellen zu wollen, die gar keine sind, sondern eben der Backdoor selbst.

Allerdings erhält durch einen aktiven Backdoor jemand von außen die Möglichkeit, Veränderungen im System vorzunehmen, die über einen Virenscanner nicht aufzudecken sind. Daher auch der Rat zu format c:.

danke für eure infos und tips, werde wohl <format c> machen. was mich nur wundert obwohl antivir das backdoorprogramm gefunden und entfernt hat, habe ich das gefühl das der ganze rechner unheimlich langsam ist. wenn ich auf prozesse gehe(taskmanager) zeigt er mir 99 prozent cpu-auslastung leerlaufprozess an ?? ich habe mir voher darüber nie einen kopf gemacht und weiß deswegen nicht ob das normal ist ??

Leerlaufprozess: http://www.pctip.ch/helpdesk/kummerk...inxp/27420.asp

Ist also normal. ;)

Wenn wirklich noch was aktiv sein sollte, kannst Du das Problem evtl. mit Hijackthis einkreisen.

Gruß :daumenhoc
Yopie

Einkreisen ;-)

Na klar, wer nicht weiß wie man vorzugehen hat der macht format c. Als Systemadmin wäre das dein letzter Job gewesen!
Nun ja, wer HijackThis braucht den ist auch nicht mehr zu helfen!!!
Denn wenn ein Schädling so auffällig ist, dass man in mit dem Tool sieht - das ist wirklich Kinderkram. Siehe Sasser & Co.
Übrigens, was machst du denn bei Schädlingen die dein Tool nicht entdeckt - ja klar format c.
Es gibt auch Systeme da kann man nicht einfach format c machen, wegen Ihrer Komplexität!
Aber gleich hier von keine Ahnung zu reden bzw. sich auf einen Artikel von MS zu beziehen der sich auf normal user bezieht??? Ich denke du bist hier der Profi u. kein normal user??
Was machst du eigentlich bei Speicherresidenten Schädlingen? Da hilft kein format c - gleich den ganzen Compi wegschmeißen..
Man kann jedes System wieder in urzustand bringen, egal wie verseucht es ist - dauert halt nur länger. Vorausgesetzt man weiß sich zu helfen außer format c.
Ich schätze du bist ein verkappter Bastler der meint Ahnung zu haben, was aber nicht der Fall ist!

...bist du so, oder tust du nur so? Wenn du Microsoft widersprechen möchtest - dann viel Spaß.
Bitte? Warum denn?
Welches Tool meinst du?
Ein Beispiel wäre Wert. Ansonsten ist dieser Satz sinnfrei.
Hier irrst du dich wiedermal gewaltig.
..ich kriege keine. Übrigens: Wenn du heutzutage einen speicherresidenten Virus findest - bitte melde dich hier.
...warum denn nicht die RAM-Steine einfach herausnehmen? Und danach MBR überschreiben?
Wie bitte?
Sorry, sprichst du auch Deutsch?
Bei deiner Schätzung darfst du bleiben, die äußern musst du aber nicht.

@Rene-gad
Nicht nachgeben! :D

@rene-gad
Du möchtest ein Beispiel: Nimm einfach einen Datenbankserver wo Kundendateien drauf sind, wundere mich nur, dass du dir das nicht selber denken konntest - denn Beispiele gibt es genug!

Auf welches Tool hab ich hier wohl angespielt - HijackThis natürlich!! Die meisten SChädlinge über die hier gesprochen wird, sind wirklich eine Beleidigung für jeden Programmierer! Kein Plan von Programmierung, bestes Beispiel Sasser: der war so auffällig der glühte ja richtig - konnte man kaum übersehen!

Wenn du dich nur mit dieser Art Schädlinge befasst die so schlecht Programmiert sind, dass Sie überall auffallen durch Ihre aktivität - dann kann ich dir auch nicht mehr weiterhelfen!

Übringens MS: Hier auf dem Board wird über MS-Produkte hergezogen u. du beziehst dich einmal, weil es dir gerade passt oder irgendwo einen link gefunden, auf eine Aussage von MS???

Ich hoffe ich bin sachlich geblieben u. würde mich freuen wenn du dazu Stellung nimmst! Sorry wegen dem Bastler, aber keine Ahnung zu haben das lasse ich mir nicht gerne unterstellen - vielleicht verzeihst du mir noch mal!

Auch wenn ich kein großer Freund von format c: (die Zeit für den Doppelpunkt muss schon sein) bin. Aber der Einwand "Datenbank-Server" ist nicht stichhaltig. Man hat ein Backup zu haben. Was anderes ist es den Aufwand und die Kosten einer Neuinstallaion/Restore mit dem Kosten einer Schadsoftwarebeseitigung und Restriskos eines unentdeckten Schädlings aufzuwiegen. Selbstverständlich kann sich auch im Backup das Virus schon breit gemacht haben, auch dieses Risiko ist mit einzurechnen. (zu Ungunsten eines format c: )
Im Worst-Case, wenn das Virus "klassisch gut getarnt" war und schon seit Wochen/Monaten in der DB schlummert, ist ein "Format c:" wirtschaftlich so gut wie absolut untragbar, kommt natürlich auch auf die Schadroutine des Bösewichtes drauf an.

Da verwechselst Du was, hier ist nicht das Heise-Forum.

Virenbekämpfungshandbuch erste Seite: Booten von sauberem Datenträger, schon mal davon gehört?