Ein Virus im Büro (Jenny1979)

Jenny1979
Gast

« am: 27.06.06, 11:40:47 »

Hallo zusammen!

Wir hatten am Freitag einen üblen Wurm (Trojaner), der Task - Manager deaktiviert hat. Es erschien eine mitteilung dass wir keinen Admin zugang mehr haben.
Dazu ist noch zu sagen, dass auf dem PC KEINE Software zur Erkennung der Virenprogramme vorhanden war.
Als der Virus erkannt wurde, haben wir geschafft AVIRAAntiVir zu instalieren und das Problem zu beheben. Hier Report:

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Freitag, 23. Juni 2006 11:10

Es wird nach 397237 Virenstämmen gesucht.

Lizenznehmer: AntiVir PersonalEdition Classic
Seriennummer: 0000149996-WURGE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: Desktop
Computername: BUERO-D

Versionsinformationen:
AVSCAN.EXE : 7.0.0.42 557096 23.06.2006 09:10:10
AVSCAN.DLL : 7.0.0.42 57384 23.06.2006 09:10:10
LUKE.DLL : 7.0.0.42 118824 23.06.2006 09:10:12
LUKERES.DLL : 7.0.0.42 32808 23.06.2006 09:10:12
ANTIVIR0.VDF : 6.35.0.1 7371264 23.06.2006 09:10:09
ANTIVIR1.VDF : 6.35.0.4 2048 23.06.2006 09:10:09
ANTIVIR2.VDF : 6.35.0.5 2048 23.06.2006 09:10:09
ANTIVIR3.VDF : 6.35.0.6 2048 23.06.2006 09:10:09
AVEWIN32.DLL : 7.1.0.10 1511936 23.06.2006 09:10:10
AVPREF.DLL : 7.0.0.1 53288 23.06.2006 09:10:10
AVREP.DLL : 6.35.0.1 643112 23.06.2006 09:10:10
AVRPBASE.DLL : 7.0.0.0 2162728 23.06.2006 09:10:10
AVPACK32.DLL : 7.1.0.1 335912 23.06.2006 09:10:10
AVREG.DLL : 6.31.0.90 27688 23.06.2006 09:10:10
NETNT.DLL : 6.32.0.0 6696 23.06.2006 09:10:13
NETNW.DLL : 6.32.0.0 9768 23.06.2006 09:10:13
RCIMAGE.DLL : 7.0.0.71 1642536 23.06.2006 09:10:14
RCTEXT.DLL : 7.0.0.75 77864 23.06.2006 09:10:14

Konfiguration für den aktuellen Suchlauf:
Job Name......................: Windows Systemverzeichnis
Konfigurationsdatei...........: C:\Programme\AntiVir PersonalEdition Classic\setupprf.dat
Bootsektoren..................: C
Durchsuche Speicher...........: 1
Laufende Programme............: 1
Prüfe alle Dateien............: 2
Durchsuche Archive............: 1
Maximale Rekursionstiefe......: 20
Smart Extensions..............: 1
Makrovirenheuristik...........: 1
Dateiheuristik................: -1
Primäre Aktion................: 1
Sekundäre Aktion..............: 0

Beginn des Suchlaufs: Freitag, 23. Juni 2006 11:10

Der Suchlauf über gestartete Prozesse wird begonnen:
C:\WINDOWS\inet20026\services.exe
   [FUND] Ist das Trojanische Pferd TR/Dldr.CWS.ARQ.4
   [INFO] Die Datei wurde gelöscht.
C:\WINDOWS\system32\testtestt.exe
   [FUND] Ist das Trojanische Pferd TR/Crypt.F.Gen
   [INFO] Die Datei wurde gelöscht.
C:\WINDOWS\system32\spoolsvv.exe
   [FUND] Ist das Trojanische Pferd TR/Crypt.F.Gen
   [INFO] Die Datei wurde gelöscht.
C:\Windows\xpupdate.exe
   [FUND] Ist das Trojanische Pferd TR/Crypt.F.Gen
   [INFO] Die Datei wurde gelöscht.
C:\WINDOWS\inet20026\select.exe
   [FUND] Ist das Trojanische Pferd TR/Proxy.Small.EM.1
   [INFO] Die Datei wurde gelöscht.
C:\WINDOWS\inet20026\killer.exe
   [FUND] Ist das Trojanische Pferd TR/Killer.A.1
   [INFO] Die Datei wurde gelöscht.
C:\WINDOWS\inet20026\socks.exe
   [FUND] Ist das Trojanische Pferd TR/Proxy.Small.BT.11
   [INFO] Die Datei wurde gelöscht.

Es wurden 35 Prozesse durchsucht

Es wird begonnen die Bootsektoren zu durchsuchen:

Bootsektor 'C:\'
   [HINWEIS] Es wurde kein Virus gefunden!

Scan der Registry auf Verweise zu ausführbaren Dateien.
c:\WINDOWS\system32\_zskwrkni05GK[PJQM^DVODNMYS.exe
   [FUND] Ist das Trojanische Pferd TR/Proxy.Small.BO.21
   [INFO] Die Datei wurde gelöscht.
c:\WINDOWS\system32\_zskwrkni05GK[PJQM^DVODNMYS.exe
   [FUND] Ist das Trojanische Pferd TR/Proxy.Small.BO.21

Die Registry wurde durchsucht ( 13 Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

C:\WINDOWS\system32\dlh9jkdq1.exe
   [FUND] Ist das Trojanische Pferd TR/Dldr.Small.agq.4
   [INFO] Die Datei wurde gelöscht.
C:\WINDOWS\system32\dlh9jkdq2.exe
   [FUND] Ist das Trojanische Pferd TR/Crypt.F.Gen
   [INFO] Die Datei wurde gelöscht.
C:\WINDOWS\system32\dlh9jkdq5.exe
   [FUND] Ist das Trojanische Pferd TR/Crypt.F.Gen
   [INFO] Die Datei wurde gelöscht.
C:\WINDOWS\system32\dlh9jkdq6.exe
   [FUND] Ist das Trojanische Pferd TR/Crypt.F.Gen
   [INFO] Die Datei wurde gelöscht.
C:\WINDOWS\system32\dlh9jkdq7.exe
   [FUND] Ist das Trojanische Pferd TR/Crypt.F.Gen
   [INFO] Die Datei wurde gelöscht.
C:\WINDOWS\system32\dxu.dll
   [FUND] Ist das Trojanische Pferd TR/Proxy.Agent.DF.15
   [INFO] Die Datei wurde gelöscht.
C:\WINDOWS\system32\ipod.raw.exe
   [FUND] Ist das Trojanische Pferd TR/Crypt.F.Gen
   [INFO] Die Datei wurde gelöscht.
C:\WINDOWS\system32\kernels8.exe
   [FUND] Ist das Trojanische Pferd TR/Crypt.F.Gen
   [INFO] Die Datei wurde gelöscht.
C:\WINDOWS\system32\qvxgamet2.exe
   [FUND] Ist das Trojanische Pferd TR/Dldr.Agent.afl.2
   [INFO] Die Datei wurde gelöscht.
C:\WINDOWS\system32\senssrv.dll
   [FUND] Ist das Trojanische Pferd TR/Dldr.Agent.afl.2
   [INFO] Vom Virus TR/Dldr.Agent.afl.2 veränderte Registry- oder WIN.INI-Einträge wurden entfernt.(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensSrv\DllName)
   [INFO] Die Datei wurde gelöscht.
C:\WINDOWS\system32\TheMatrixHasYou.exe
   [FUND] Ist das Trojanische Pferd TR/Proxy.Small.BO.21
   [INFO] Die Datei wurde gelöscht.
C:\WINDOWS\system32\vxgame6.exe
   [FUND] Ist das Trojanische Pferd TR/Dldr.CWS.ARQ.4
   [INFO] Die Datei wurde gelöscht.
C:\WINDOWS\system32\vxgamet1.exe
   [FUND] Ist das Trojanische Pferd TR/Dldr.Agent.aab
   [INFO] Die Datei wurde gelöscht.
C:\WINDOWS\system32\vxgamet2.exe
   [FUND] Ist das Trojanische Pferd TR/Crypt.F.Gen
   [INFO] Die Datei wurde gelöscht.
C:\WINDOWS\system32\vxgamet3.exe
   [FUND] Ist das Trojanische Pferd TR/Crypt.F.Gen
   [WARNUNG] Die Datei wurde ignoriert.

Ende des Suchlaufs: Freitag, 23. Juni 2006 12:52
Benötigte Zeit: 1:41:38 min

Der Suchlauf wurde abgebrochen!

   1 Verzeichnisse wurden überprüft
   1934 Dateien wurden geprüft
   30 Viren bzw. unerwünschte Programme wurden gefunden
   22 Dateien wurden gelöscht
   0 Viren bzw. unerwünschte Programme wurden repariert
   0 Dateien wurden in die Quarantäne verschoben
   0 Dateien wurden umbenannt
   2 Archive wurden durchsucht
   1 Warnungen
   0 Hinweise

Meine Fragen: Wie gefährlich war der Virus und ist der denn komplett weg?

Vielen Dank im Voraus

jenny

Moderator informieren

HELP
Gast

Re: Ein Virus im Büro

« Antwort #1 am: 27.06.06, 12:07:55 »

Hallo Jenny,

wie gefährlich die Viren waren, kann dir kaum einer sagen. Zu der einen oder anderen Malware gibt es auf der Homepage bei AntiVir eine kurze Beschreibung.

Zur Kontrolle sollte noch eine Überprüfung mit den beiden kostenlosen Online-Scanner vorgenommen werden.
Panda ActiveScan
http://www.pandasoftware.com/activescan/de/activescan_principal.htm
(Findet zwar auch Spyware und Adware, kann diese aber nicht bereinigen.
Eventuellen Meldungen von Panda unter “Spyware:Cookie“ sind harmlos und stellen keine akute Gefahr dar.)
BitDefender Online Scanner
http://www.bitdefender.de/bd/site/page.php#

Moderator informieren

+Flori+ (1.675)

19x Beste Antwort

33x "Danke"

Re: Ein Virus im Büro

« Antwort #2 am: 27.06.06, 12:10:05 »

Hat dir diese Antwort geholfen?

Ich hoffe, ohne Virenscanner zu arbeiten wird dir eine Lehre sein.

Moderator informieren

Sir Reklov
Gast

Re: Ein Virus im Büro

« Antwort #3 am: 27.06.06, 15:03:42 »

Hallo,
deine Einlassung das es ein Firmen-PC sei,läßt mich annehmen das dort auch Daten sind die Fremden verborgen bleiben sollten ?
Bei einem Befall mit Trojanern ist immer eine Neuinstallation anzuraten.Weil, wie gesagt wurde,du nicht sagen kannst was der Trojaner noch angestellt hat.Er könnte Code aus dem Netz nachgeladen haben und dabei einen Zugang durch die Hintertür angelegt haben.Auch deine sämtlichen Passwörter sollten geändert werden,aber nicht untereinander tauschen.
Eine der besten Anleitungen zur Neuinstallation ist hier zu finden :
http://www.trojaner-board.de/showthread.php?s=8b87b81df6c61f546569db16123875ac&t=12154
Wenn du der Anleitung bis zum Ende folgst,speziell die "Absicherung vor dem ersten Gang ins Netz"kannst du dir Virenklingeln und Firewalls absolut schenken.Die tun sowieso nicht, was sie vorgeben zu können.
Bei Intresse geb ich dir Literatur zum Lernen und Verstehen
Sir Reklov

Moderator informieren

HCK
Gast

Re: Ein Virus im Büro

« Antwort #4 am: 27.06.06, 18:29:05 »

Firmen-PC'S , Floppy & CD-Laufwerke ?? USB-Sticks möglich ?? Dann steht das offen wie ein SCHEUNENTOR !! . Dann noch ohne Virenscanner und Firewall , da kannst Du die Firmendaten gleich aus dem Fenster werfen für alle Leute !!
Fehlt ja eigentlich nur noch WLAN OHNE Verschlüsselung ..... OHAUEHAUEHA

Moderator informieren

N!2xLE
Gast

Re: Ein Virus im Büro

« Antwort #5 am: 27.06.06, 18:34:38 »

Als Firma habt ihr doch sicher, eine Datensicherung angelegt, oder? Wenn nicht !

Moderator informieren

HCK
Gast

Re: Ein Virus im Büro

« Antwort #6 am: 28.06.06, 19:11:15 »

Jenni ist wohl abgehausen ???

Moderator informieren

+Flori+ (1.675)

19x Beste Antwort

33x "Danke"

Re: Ein Virus im Büro

« Antwort #7 am: 28.06.06, 19:14:15 »

Hat dir diese Antwort geholfen?

stimmt

Moderator informieren

Jenny1979
Gast

Re: Ein Virus im Büro

« Antwort #8 am: 30.06.06, 11:28:16 »

Hallo!
Als erstes bedanke ich mich herzlich für alle, die in mein thread gepostet haben. Ich bin nicht abgehauen, hatte keine Möglichkeit, ins Netz zu kommen.
Unser Netzwerk hier ist wirklich das allerletzte, keiner kümmert sich darum. Aber ich der Zeit bin ich fundig geworden - alle unsere Rechner sind auf sogenanntes KEN_DSL Server (Hauptrechner) angeschlossen und alles läuft über den. Ich habe keinen Zugang zu diesem Rechner. Also kann ich hier nichts machen. Und mein Problem ist das nicht - ich habe schon mehrmals den dafür verantwortlichen dass wir hier ohne Anti-Virus-Schutz etc. surfen / gesurft haben - es interessiert wohl niemanden.
Na ja, Dummheit muss bestraft werden...
Jenny

Moderator informieren

Albert_Meilenstein
Gast

Re: Ein Virus im Büro

« Antwort #9 am: 06.11.06, 21:10:26 »

Hallo Jenny.

Also dem nach was ich hier lesen konnte, ist wohl der Administrator den ihr bei euch in der Firma habt nicht der Fähigste seiner Zunft.

Wenn ihr bei euch jemanden braucht, der sowas durchaus kann, obwohl ich nicht dazu ausgebildet bin, aber dennoch einen anderen haben wollen würdet, dann kannst du mir gerne mal bescheid geben.

Ein geammtes Computerbürosystem so nackt im Netz aufzubauen, keinen vernüftigen Firewall- und Vierenschutz zu installieren, gränzt schon fast an Industriespionage. Wenn man das so sagen kann.

Von Geheimnissen in eurer Firma kann man so wirklich nicht mehr sprächen. Normalerweise muß, oder sollte man sowieso immer mehrere " Mauern " in so ein System einbauen. Zum Beispiel kann man einen Router absichern, einen Rechner vorschallten, der eine Firewall installiert hat. Auf dem nachkommenden Server oder Hauptrechner ist natürlich auch eine Firewall drauf, wobei man vielleicht auf dem zweiten Rechner eine andere Firewall installiert, weil was die eine auf dem vorgeschallteten Rechner nicht abfängt, das fängt die gleiche auf dem nächsten Rechner natürlich auch nicht ab.
Genau so auch mit den Antivierenprogrammen.

Also so schön es ist, das sich so viele " wichtige Leute " It Spezialisten nennen, oder Netzwerkadministratoren nennen oder wie man sie nennen soll. Ich habe mich schon über manche Aussage socher herrlich schrott gelacht. Gerade wenn man welche vor sich hat, die immer das letzte Wort haben müßen. Die fangen dann an, einem Sachen zu erzählen, die im Gesammten nichts mit einander zu tun haben, aber die dann eben denken, das man selbst ja keine Ahnung davon hat.

Ich persönlich schmunzel mir dann immer einen und laße sie reden. Ich gehe nicht drauf ein und laße sie glauben, sie hätten mich überzeugt :-))

Wenn einer wie ich auf Lanpartys unterwegs ist, Netzwerkpartys macht und all soche Dinge, da lernt man so einiges bei.

Also wenn ich der Cheff in eurer Firma wäre, und mitbekomme das so eine Flöte hier den Dienst tut, der darf dann gerne seine Dienste wo anders anbieten.

Aber statt dessen ist es leider so, das überall Typen sitzen, die von nix ne Ahnung haben, sich mächtig was einbilden, und andere eben wegen solcher Spezialisten ihre wahren Fähigkeiten nicht offenbaren können.

Lieben Gruß dir, falls du es überhaupt noch einmal lesen wirst.

P.S.: Email ist [email protected]

Moderator informieren

Sir Reklov
Gast

Re: Ein Virus im Büro

« Antwort #10 am: 06.11.06, 21:20:37 »

Hallo,

Zitat

Also dem nach was ich hier lesen konnte, ist wohl der Administrator den ihr bei euch in der Firma habt nicht der Fähigste seiner Zunft.

Das mag wohl sein....aber ob du dessen Posten besser ausfüllst,mag ich ob dieser Aussage bezweifeln...

Zitat

Zum Beispiel kann man einen Router absichern, einen Rechner vorschallten, der eine Firewall installiert hat. Auf dem nachkommenden Server oder Hauptrechner ist natürlich auch eine Firewall drauf, wobei man vielleicht auf dem zweiten Rechner eine andere Firewall installiert, weil was die eine auf dem vorgeschallteten Rechner nicht abfängt,

Zitat

Also wenn ich der Cheff in eurer Firma wäre, und mitbekomme das so eine Flöte hier den Dienst tut, der darf dann gerne seine Dienste wo anders anbieten.

Jep...

Dein Arbeitsplatz wäre dann der Keller in Jenny`s Büro...