Schädling / wilde Seite

#1 Betriebssysteme: Windows ME english
involvierte Software: Internet Explorer 5.5 bzw.6/Betriebssystem/I-netverbindung
--> verwendete Anti-Virus-Software: Dr. Web, Norton Anti-Virus, McAfee (Bootdisk) - natürlich nacheinander
--> Anti-Trojaner: The Cleaner / ANTS - beide nicht aktuell
Hardware: Laptop

Hallo,

seit nunmehr 2 Tagen habe kann ich auf dem oben beschrieben System keine Internetverbindung mehr nutzen. Die Einwahl funktioniert, das Verbindungssymbol wird angezeigt, jedoch kann ich über den I-netExplorer keine Seiten aufrufen und auch sonst keine Programm-Updates vornehmen.In einem Protokoll war zu lesen ICSharing connect - eine Sek später ICSharing closed.

Des weiteren gabe es folgende Anzeichen, die einen Virus-/Trojanerbefall vermuten lassen:
1. Obwohl die Passwörter für die Mailkonten (outlook & outlook express) gespeichert waren, wurde ich irgendwann beim Abruf aufgefordert, diese einzugeben (macht man eigentlich nicht --> Dienstlaptop).
2. Nach dem Start des System reagiert der Mauszeiger für 5 Sekunden wie bei einer Installation.
3. Auf dem Rechner befanden sich zwei unbekannte bat-dateien, die sich beim Öffnen selbst und dann die Winstart.bat gelöscht haben.
4. In der Registry befanden sich vor einer Neuinstallation unter HLKM/Microsoft/Current Version 4 Einträge in der Art 'G75048<8', deren Werte lauter Zeichen und Symbole enthielten.
5. Nach der Neuinstallation waren sowohl in der Registry als auch in der autoexec.bat Starteinträge zu einer Datei namens 'bcppost.exe', die sich während des Anschauens mit dem Editor selbst entfernten.
6. Dr. Web hat eine File-Datei (481 kB/492 Kb) mit dem Namen '000004' und eine Datei mit dem Namen 'descript.ion' (1 kB) als möglichen WIN.EXE Virus bezeichnet.

Der PC wurde möglicherweise durch eine Mail oder durch den Aufruf der Seite: http://home.dtc.ch/grulms/iloveyou.htm (Vorsicht!!!) infiziert.
Ich bin im Rahmen meiner Recherche auf diese Seite gelangt und hatte leider ActiveScript aktiviert -->es erscheint ein Monitor, auf dem 'I-love-you'' steht, Musik wird gespielt und der nachfolgende Spruch erscheint: 'Virus muss wandern -vom einen Ort zum andern' (ein Scherz?).

Ich habe die o.g. Programme eingesetzt, diverse Reg-Einträge von Hand gelöscht, in Virenlexika nach den Symptomen gesucht, Betriebssystem und Office-Paket neuinstalliert,diverse Remove-Tools Bitdefender, Norton usw. "ausprobiert" - alles ohne Erfolg.


1) Kann mir jemand sagen, welche Schädlinge sich möglicherweise auf meinen PC befinden?

2) An welche Stelle kann und sollte man sich wenden, um Viren-Seiten überprüfen und ggfs. abschalten zu lassen?

3) Ist die vorgenannte Seite und deren Virus bereits bekannt?

4) Wo kann man potentielle Viren-Dateien überprüfen lassen?

Für Hinweise bedanke ich mich schon mal im voraus.

js

#2 Erstmal: Ich wünsche mir immer solch klare Fehlerbeschreibungen auf Arbeit!!

ok, ich werd mir dann mal die Seite anschauen!

zu 4.: Kannst Du zu Symantec oder MCAfee und CA schicken

zu 2.: Beim zuständigen Provider, als dtc.ch in diesem Fall

zu 3.: Das Verhalten erinnert mich sehr stark an einen Trojaner - nimm mal einen aktuellen Trojanerscanner

Das wars fürs erste von mir - ich schau mal

R:
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#3 Vielen Dank für die schnelle Rückantwort.

Leider bekomme ich keinen aktuellen Trojaner-Scanner auf die Festplatte. Die angebotenen Downloads sind Wochen oder Monate alt und müssten geupdatet werden. Und das kann ich halt nicht. The Cleaner aktuell - findet jedoch nichts.

Noch zwei Anmerkungen, die vielleicht helfen:

1) Ich hatte von der CD 'PC-Magazin Extra 18' den Internet-Explorer von Version 5.5 auf 6 aktualisiert. Habe aber keinen Hinweis gefunden, dass man hiervon die Hände lassen sollte.

2) Die Bootscan-Disk McAfee (Scan-Engine 4.035 for DOS - Data-File 08/08/02 --> heutiges Download) stoppt beim 2. Durchlauf im Verzeichnis C:\WINME\System.

jstarnit

#4 Hi Js!

Erstmal Respekt für die sorgfältige Analyse deines Problems!

Ich erinner mich vor einiger Zeit mal ein ähnliches Problem gehabt zu haben, nachdem ich mich einige Zeit über einen anderen Rechner per (ICS) mit dem Internet verbunden hatte und dann wieder das DFÜ Netzwerk einrichten wollte! Das einwählen funktionierte jedoch das nutzen des IE nicht mehr! Da ich sowieso mal wieder neu installieren wollte hab ich das Problem nicht weiter versucht zu lösen! Soll heissen, das es nicht unbedingt ein Trojaner sein muss; obwohl der Eintrag in der autoexec.bat schon merkwürdig ist!

Verwendest du das DFÜ Netzwerk um dich mit dem Internet zu verbinden?
Möglicherweise solltest du in der Systemsteuerung unter Netzwerk deine kompletten TCP / IP Treiber neu installieren oder unter Software das DFÜ Netzwerk neu installieren!

Hast du im IE möglicherweise unter Extras -> Internetoption -> Verbindungen -> Lan Einstellungen -> Einstellungen einen Proxyserver eingetragen oder irgendwas angehaakt?

momentan fällt mir leider nicht sehr viel mehr ein!

Zitat

js postete

2) An welche Stelle kann und sollte man sich wenden, um Viren-Seiten überprüfen und ggfs. abschalten zu lassen?

3) Ist die vorgenannte Seite und deren Virus bereits bekannt?

4) Wo kann man potentielle Viren-Dateien überprüfen lassen?

Für Hinweise bedanke ich mich schon mal im voraus.

js

2.) Falls die Website eine eigne Domain hat kannst du diese bei http://www.allwhois.com prüfen und herausfinden wer diese hostet und die Hoster ggf. anschreiben -> Kontaktadresse sollte angegeben sein!

3.) Ich habe eben den Quellcode von http://home.dtc.ch/grulms/iloveyou.htm überfolgen und konnte auf den ersten Blick kein bösartiges Script entdecken!

Code

<script language="JavaScript"><!--
window.alert("Virus,Virus,du musst wandern, von einem ort zum andern!")
// --></script>

gibt lediglich eine Meldung aus und ist harmlos!

4.) Rokop kennt sich sehr gut mit Viren aus und bietet eine solche Dateianalyse natürlich kostenlos an: http://www.rokopsecurity.de/main/article.php?sid=144
__________
Gruß Lukas

#5 Onlinecheck: http://www.kasperskylabs.com/remoteviruschk.html

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#6 Zu 4.

Man kann seine Viren auch an SERC (oder so..) schicken.
Ist ein Service von Symantec.

Gibt bestimmt einen Link auf der Symantec Seite..
__________
So wird mein Post von allen gelesen..

#7 Zunächst einmal vielen Dank für Eure Antworten.

Eine Prüfung bei Kasperky hat keine neuen Erkenntnisse gebracht.

Den umfangreichen Hinweisen von MR. Lukas bin ich ebenfalls nachgegegangen mit den folgenden Ergebnissen:

1. LAN war nicht eingestellt
2. Es ist ein LAN-Adapter installiert (PCMCIA), der jedoch nicht für Internet sondern für Netzwerk gedacht
3. Treiber habe ich neu installiert - ohne Erfolg
4. Im Register Internetoptionen/Erweitert waren Punkte enthalten, die man im normalerweise nicht findet -> ohne Beschriftung!! und angekreuzt (z.B. zwei Kästchen vor Browsing)
5. Bei der Neuinstallation des Internet-Explorer 6 konnte zunächst das 'erweiterte Authoring' und dann 'VML' nicht installiert werden. Schließlich habe ich das SETup mehr oder weniger "durchgeprügelt".
6. Des weiteren habe ich im Rahmen der Auseinandersetzungen mit dem Laptop festgestellt, dass es die MDM.Exe zweimal vorhanden ist und sehr nervös reagiert.
7. ICS war auf keinen Fall eingestellt. Wenn eine solche Verbindung protokolliert wurde, stimmt das schon nachdenklich.

8. Auf dem Gerät war ein SQL-Server eingerichtet. Unter Berücksichtigung der Symptome halte ich es für möglich, dass sich ein Wurm wie JS/SQLSpider-B eingenistet hat. Den Reg.-Eintrag 'dbmssocn' habe ich gefunden und entfernt.
Die bei Sophos genannten Dateien müssen aufgrund der Neuinstallationen gelöscht worden sein.


Sollte ich jemals eine Lösung bekommen, lasse ich Euch es wissen.

Nochmals Danke

jstarnit