• Liebe User, bitte beachtet folgendes Thema: Was im Forum passiert, bleibt im Forum! Danke!
  • Hallo Gemeinde! Das Problem leidet zurzeit unter technischen Problemen. Wir sind da dran, aber das Zeitkontingent ist begrenzt. In der Zwischenzeit dürfte den meisten aufgefallen sein, dass das Erstellen von Posts funktioniert, auch wenn das Forum erstmal eine Fehlermeldung wirft. Um unseren Löschaufwand zu minimieren, bitten wir euch darum, nicht mehrmals auf 'Post Reply' zu klicken, da das zur Mehrfachposts führt. Grußworte.

Viren, Würmer, Firewalls, etc.

Vystup

Mitglied seit
12.01.2002
Beiträge
2.216
Reaktionen
0
Den habe ich gelesen, wenn auch noch nicht alle verlinkten Sachen. Trotzdem wollte ich hier nochmal eben individuelle Beratung haben.

Und zwar habe ich Windows XP SP2, mache auch regelmäßig meine Windows-Updates, automatische Updates sind auch aktiviert. Ich habe die Sygate Personal Firewall laufen, dazu Antivir (die kostenlose Version), die wird alle 3 Tage aktualisiert, Spybot S&D und Adaware sind auch regelmäßig unterwegs. Als Browser benutze ich Firefox, meine E-Mails lese ich mit Pegasus Mail und E-Mails, die nach Virus schreien (42 KB groß mit einer .scr/ .pif-Datei im Anhang, etc.) werden ungelesen gelöscht. Internetverbindung läuft per PPoE, kein Router.

So weit so gut. Allerdings habe ich in den letzten 10 Minuten 5(!) Viruswarnungen von Antivir bekommen, und zwar vor den folgenden Dingern, die sich auf meiner Festplatte eingenistet hatten:
Wootbot.291813, Stepaik.C.1, SPR/RemoteAdmin.Net

Auszug aus der Logdatei
15.07.2005,16:55:44 [WARNUNG] Enthält Signatur des Wurmes WORM/Wootbot.291813!
C:\DOCUMENTS AND SETTINGS\LOCALSERVICE\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\8XEZOH6N\MSNMSGR[1].EXE
[INFO] Die Datei wurde gelöscht!
15.07.2005,16:55:55 [WARNUNG] Enthält Signatur des Wurmes WORM/Wootbot.291813!
D:\APACHEFRIENDS\XAMPP\MYSQL\DATA\SUGEC.EXE
[INFO] Die Datei wurde gelöscht!
15.07.2005,17:08:17 [WARNUNG] Enthält Signatur des Wurmes WORM/Stepaik.C.1!
C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\AVPD7.TMP
[INFO] Die Datei wurde gelöscht!
15.07.2005,17:08:36 [WARNUNG] Enthält Signatur des Wurmes WORM/Stepaik.C.1!
C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\AVPDA.TMP
[INFO] Die Datei wurde gelöscht!
15.07.2005,17:09:26 [WARNUNG] Enthält Signatur des SPR/RemoteAdmin.Net- Programmes!
C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\AVP10D.TMP
[INFO] Die Datei wurde gelöscht!
Zum Vergrößern anklicken....

Natürlich habe ich die Dateien gelöscht, allerdings macht mir das gerade ein bißchen Angst, weil ich meine Daten eigentlich ganz gerne mag und auch nach Möglichkeit behalten würde.

Was das persönliche Risikoverhalten angeht: ja, ich habe hin und wieder mal E-Mule und auch Bittorrent laufen, allerdings lade ich wirklich sehr wenig runter und versuche von vornherein gefährliche Sache nicht anzurühren.

Interessieren täte mich jetzt: wo kommen die Dinger her (3 verschiedene sind doch ziemlich viel) und was sollte ich machen, um zu verhindern, dass sie meinem armen Computer was böses tun?

Virusscan habe ich schonmal laufen lassen, allerdings bisher nicht im abgesicherten Modus. Dabei wurde nichts gefunden. Ich warte noch bis die Virusdefinitionen auf dem neuesten Stand sind und werde das dann gleich machen, in der Zeit bekomme ich ja vielleicht schon die eine oder andere Antwort. Vielen Dank!
 

Busta_inaktiv

Guest
was für ein user ist localservice?

und welche firefox-version nutzt du jetzt gerade?

nur am rande: sofern du bei emule und bittorrent nur dateien von größeren linksammlungen lädst sind die daten sauber, ernsthafte sicherheitserwägungen sind wohl nur bei nutzen der netzinternen suchfunktionen nötig.
 

XFreeX

Guest
D:\APACHEFRIENDS\XAMPP\MYSQL\DATA\SUGEC.EXE
Zum Vergrößern anklicken....

SQL-Injection?
Ein lustig konfigurierter Apache mit einem hinreichend beschissenen Webfrontend gepaart mit einer SQL Datenbank ist ein lustiger Spielplatz.
Eine Sache: Aus diesem Grunde steht der Webserver auch in der DMZ...leider fällt diese bei einer PF mit dem Produktivsystem zusammen.
Der Wootbot nutzt aber, sollte ich mich richtig erinnern, die LSASS Schwachstelle aus.

Gruß,
Stefan
 

aMrio

Mitglied seit
12.08.2002
Beiträge
12.549
Reaktionen
0
als ich noch antivir nutzte war mein pc auch monatelang sauber und dann plötzlich total verseucht :8[:
 
haschischtasche

haschischtasche

Ährenpenis
Mitglied seit
28.09.2002
Beiträge
37.139
Reaktionen
7.878
Original geschrieben von aMrio
als ich noch antivir nutzte war mein pc auch monatelang sauber und dann plötzlich total verseucht :8[:
Zum Vergrößern anklicken....
das is ne aussage, als ob dein virenscanner dafuer verantworlich waere, dass dein compi nicht verseucht wird.
 

Vystup

Mitglied seit
12.01.2002
Beiträge
2.216
Reaktionen
0
So, Systemscan ist fertig, hat nichts gefunden.

Den Apache selbst zu konfigurieren ist mir zu viel Arbeit, ich nutze den nur, um meine Internetseite offline zu testen, bevor ich die Sachen hochlade. Zugriff darauf sollte aber eigentlich von der Firewall geblockt werden, jedenfalls hab ich alle 3 dazugehörigen Programme (apache.exe, filezillaserver.exe, mysqld-nt.exe) auf "gesperrt" gesetzt.

Firefox: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.7.8) Gecko/20050511 Firefox/1.0.4

Was die Benutzeraccounts angeht, habe ich mich auch gerade gewundert, als ich mal das entsprechende Verzeichnis geöffnet habe. Dort sind folgende Benutzer aufgeführt:

Administrator
All Users
s0400308 (Account den ich für den Netzwerkzugriff in der Uni brauchte)

und dann in versteckten Verzeichnissen:
Default User
LocalService
Networkservice

Letztere beiden kommen mir ein wenig komisch vor, jedenfalls hab ich sie vorher nie gesehen. Allerdings werde ich nochmal eben googlen, bevor ich sie lösche.
 

Busta_inaktiv

Guest
sind das denn in registrierte nutzer, oder existieren nur die verzeichnisse?

ansonsten lies dir die virenbeschreibungen z.B. unter http://vil.nai.com/vil/default.asp durch und stopfe die entsprechenden löcher.

zumindest der wootbot liegt im browser-cache - das heißt noch lange nicht, dass er dein system infiziert hat! (vorausgesetzt dieser mysteriöse user ist nicht in sich schon fake)
 

Vystup

Mitglied seit
12.01.2002
Beiträge
2.216
Reaktionen
0
Die Benutzer existieren in der Benutzerverwaltung nicht. Ich habe sie auch nie eingerichtet. Lediglich die Verzeichnisse sind vorhanden, wie gesagt versteckt. Google-Suche mit den beiden Verzeichnisnamen als Suchbegriff hat mich irgendwie nicht weitergebracht.

In den Verzeichnissen liegt nicht besonders viel rum, keine ausführbaren Dateien auf jeden Fall.

Ich habe nochmal mit einem anderen Antivirenprogramm gescannt, der hat einen (anderen) Wurm in meinen E-Mails gefunden, allerdings war das schon im Gelöscht-Ordner, den ich nur noch nicht geleert hatte, würde ich also als nicht im Zusammenhang stehend betrachten, weil ich die betreffende E-Mail sowieso nicht geöffnet sondern gleich gelöscht hatte.

Die Virenbeschreibungen habe ich gelesen, die Wootbot-Schwachstellen waren schon lange gefixed, den Rest muss ich noch überprüfen.

Sollte ich das System neu aufsetzen? Wäre zwar nicht gerade mein Traum, aber ich habe da so eine Recovery-Partition auf meiner Festplatte, die die Geschichte doch wesentlich beschleunigen sollte. Einzig das Backup meiner Digitalfoto- und Musiksammlung ist eine Perspektive, die mangels DVD-Brenner nicht gerade einladend anmutet.


EDITH:

Hab bei Google gerade das hier gefunden, was für mich bedeutet, dass ich mir die mit der .NET Installation angelegt habe, was auch erklärt, warum sie mir nicht bekannt vorkommen, so oft schaue ich in "Documents and Settings" auch nicht rein. Finde ich beruhigend, dass die Ordner da zumindest schonmal hingehören.


EDITH2:
SPR/RemoteAdmin.Net => keine Ergebnisse bei Google oder McAfee
Stepaik => zwar Ergebnisse, die beschriebenen Dateien, die man finden müsste sind aber nicht auf meinem Computer vorhanden
Wootbot => auch hier fehlen die bei McAfee beschriebenen Symptome


Also Entwarnung?
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben