Hallo. Ich war laengere Zeit weg gewesen. Als ich heute nach Hause kam, habe ich den PC angemacht. Auf dem PC befnd sich ein nicht aktualisiertes Windows 7 Ultimate, sowie eine nicht aktualisierte Firefox Version. Alles auf dem Stand von vor ca 1 Wochen, also der Stand bevor ich beruflich weg ging. Mit dem PC besuchte ich dann uC.net. Wenig spaeter meldete sich Windows Defender mit einer WarnMeldung. Ich waehlte bereinigen. Brachte aber nichts. Denn der Defender ging immer wieder auf und es erschien auch eine Meldung von Windows, mit der Frage, ob eine Software installiert werden soll. Beim Klick auf nein kam die Meldung immer wieder. Ich habe dann erst mal den Netzwerkstecker gezogen und dann mal einfach auf ja geklickt. Und schupps war ein Proxy auf dem Rechner installiert. Ich habe den PC dann nicht herunter gefahren, sondern einfach den Strom abgestellt, um zu verhindern, dass irgendwelche temporaeren Dateien geloescht werden. Dann habe ich eine Linux Live CD eingelegt um eine Analyse des PC durchzufuehren. Ich fand auch verdaechtige Dateien in einem Temp bzw Verlaufsordner von Windows und an andeen Stellen. Ich habe ein vollstaendiges Backup vom PC, denn noch am Abend vor meiner Abreise hatte ich den gesamten Datenbestand auf USB Festplatten kopiert, um die Zeit abends im Hotel sinnvoll mit Datensortierung zu nutzen. Von daher ist einfach komplett plattmachen und neuinstallieren der geringste Aufwand. Ich wollte hier nur warnen vor der Virengefahr, die von der uC.net Bannerwerbung ausgeht. Der Virus bzw Trojaner kommt wahrscheinlich ueber die Werbung hier auf der Seite mit Flash herein.
Angehängte Dateien:
-
virus.png
54 KB -
virus2.png
61 KB -
virus4.png
110 KB
:
Verschoben durch User
P.S. im Moment bin ich mit der Linux Live CD unterwegs / die Screenshots habe nich noch gemacht, bevor ich den PC einfach vom Strom genommen habe und das Plattmachen begonnen habe.
Mit µC.Net habe ich eigendlich noch nie Probleme geahbt... Befindet sich der Rechner hinter einem Hardwarerouter (FritzBox o.ä.) oder ist dieser direkt am Modem angeschlossen? Falls dein REchner sich direkt am Netz befindet und nicht ordentlich abgesichert ist, dann brauchst du nicht einmal selbst im Netz surfen um dir Viren einzufngen. Die kommen von ganz alleine... Man muss sich nur einmal die PingStatistik anschauen. Jede Sekunde wird gescannt was das Zeug hergibt. Bei mir dauert es nach hochfahren des Routers keine 10 sekunden bis der erste PING (Antwort natürlich unterdrückt) im Log auftaucht. Sobald dann ein freier Port gefunden ist hast du die Viren bereits im System. Egal auf welchen Seiten du dich befindest. Falls du also direkt am NEtz hängst (oder dein Router mit Portforwarding und DMZ und was weiß ich alles völlig verkonfiguriert ist - z.b. damit die Onlinespiele auch ohne "feineinstellung gut laufen) ist die Wahrscheinlichkeit sehr groß das der Virenbefall und der Bescuh der µC.net Website in keinrlei zusammenhang stehen und das zeitliche Zusammentreffen nur zufall ist. Gruß Carsten
Hallo. Der PC haengt ueber einen Router am Netz. Es ist ein Linksys WRT54 mit alternativer Firmware. Von aussen nach innen hatte ich noch keine Probleme. Es ist auch mein erster Virenbefall in meiner gesamten PC Zeit. Yumndest den ersten, den ich bemerkte. Da ich ausser uC.net noch keine Seiten mit dem PC besucht hatte, kommt er wahrscheinlich von hier, und zwar ueber die FLASH Bannerwerbung. Der Admin hier hat auf die Bannerwerbung ja kaum Einfluss, die kommt von externen Dienstleistern. Da kann also von aussen etwas eingeschleust werden. Ich weiss, man soll mit einem nicht aktualisierten PC nicht im Netz surfen, aber es war nur ca eine Woche Rueckstand und uC.net ist eine serioese Seite, also hatte ich keine Bedenken. Die automatischen Updates waren aktiviert, habe manuell also nichts gestartet und mich auf die Automatik verlassen. In Zukunft muss ich mich wohl intensiver mit dem Thema IT Sicherheit auseinandersetzen.
schau doch mal die logs an! Das ist kein Virus der sich einfach von einer Webseite aus verbreitet! Außerdem musstes du ja offenbar unbedingt mit Administrator-Rechten arbeiten ... da hat jeder Trojaner natürlich leichtes Spiel Du hast dir wahrscheinlich irgendein "Sche**" geladen, welcher einen Trojan-Loader installiert hat. Dieser hat dann verschiedene Trojaner installiert welche auf Datenklau aus sind. Ich sehe keinen Angriff von µC.net. Außerdem nutzen die oben genannten Viren keine Schwachstellen aus, vor allem nicht wenn die Software nicht total veraltet ist (1 Woche ist doch kein Problem).
Ich habe heute nichts runter geladen oder sostwas gemacht. Das einzigst erklaerbare Infallstor ist Flash. Oder irgend ein Tor im neuen Firefox, welches innerhalb der letzten Woche bekannt wurde. Oder der Tjojaner war ein schlaefer, der erst jetzt aktiv wurde. Ich hatte bislang keine Probleme. Dafuer spielt jetyt alles verrueckt. Vorhin der Trojaner, jetzt konnte ich einen Angriff auf den Mailaccount feststellen. Ich habe Fehlgeschlagene Loginversuche bis zum Temp bann. Wenn ich Mails abrufen will, geht per IMAP gar nix mehr. Per Webinterface kommt nur die Meldung, dass ich den Service kontaktieren soll, da aufgrund der hohen Zahl fehlgeschlagener Loginversuche der Account zur Sicherheit vorruebergehend gesperrt wurde.
Auf keinen Fall mehr die Installation benutzen! Die Trojaner klauen dir leicht mal alle Daten (EMail Account, Accounts von Webseiten). Da hängt ein Trojaner als lokaler Proxy zwischen Browser bzw Email-Client und der Außenwelt! Ich würde auf jeden fall neu installieren! Alles anderer ist Zeitverschwendung. Einfallstor kann wirklich Flash gewesen sein. Mein Tipp: Niemals als Administrator (auch nicht bei Win7) arbeiten.
Ja, neu installiert wird auf jeden Fall. Ich nutze die Gelegenheit, um mal Ubuntu zu installieren, was ich schon lange vor hatte, aber wegen "Installationsaufwand" immer verschoben habe. Ich habe glücklicherweise ein sehr aktuelles Vollbackup auf den USB Platten, so dass ich den Rechner direkt platt machen kann. Anders hätte ich mit der Live Cd erst mal noch Backups anfertigen müssen. Die Masche bei dem Trojaner ist wohl so, dass er andauernd dieses "Software Installationsfenster" aufploppen lässt, bis der entnervte User auf ja klickt. Dann wird der Proxy installiert und fischt die ganzen Daten ab. Die Logindaten von eMail wurden schon geklaut. Ich habe, nachdem ich den Trojaner bemerkte und den PC mit der Linux LiveCD gebootet hatte, vorsorglich überall die Passwörter geändert. Und das war auch gut so. Habe da zwar jetzt einen Bann wegen den fehlgeschlagenen Login Versuchen, So wurde wohl schlimmeres verhindert. Dumm nur, dass der Service schon Feierabend hat. Den 0900 Not-Service rufe ich nicht an, da warte ich lieber bis Montag ohne eMail und rufe dann die 0180 Hotline an.
Matthias Keller schrieb: > Mein Tipp: Niemals als Administrator (auch nicht bei Win7) arbeiten. Das hatte ich leider getan. ein großes Sicherheitsloch.
Haste mal geguckt, welches Datum die angezeigten Dateien hatten?
>> Mein Tipp: Niemals als Administrator (auch nicht bei Win7) arbeiten. > Das hatte ich leider getan. ein großes Sicherheitsloch. Das kannst du auch ohne weiteres machen, denn unter Windows 7 ist Administrator != Administrator. Soll heißen, der PC ist ausreichend geschützt in der default Einstellung. Setup.exe muss IMMER explizit erlaubt werden. Zur Sicherheit braucht es einen Skriptblocker (bei mir NoScript) und einen Viranscanner (bei mir AntiVir). Das reicht mir und das sollte dir auch reichen, denn ich betreibe Online-Banking und diverse Online-Bezahlsysteme - seit Jahren kein geplündertes Konto oder dergleichen. Jeden Tag zig Stunden im Netz (auch in Seiten wo man besser Abstand halten sollte). > Der Virus bzw Trojaner kommt wahrscheinlich ueber die Werbung hier auf > der Seite mit Flash herein. Das glaube ich nun wirklich nicht. Dein angeblicher Virus sitzt in einer SETUP.EXE die irgendjemand auf deinem Rechner ausgeführt hat. Wer auch immer an deinem Rechner war, mit Flash hat dein Virus mal gar nichts zu tun. Das ist ein klassischer Download-Schädling. Hast du mal überprüft, ob es sich überhaupt um einen Virus handelt? Die meisten angeblichen Viren sind nichts als Fehlalarme. Sowas lässt sich per Mehrheitsentscheid auf http://www.virustotal.com/ testen. Ich hatte die Tage laut AntiVir angeblich in sämtlichen neueren Offline Ebay Angebotsseiten einen Virus (im html code). Mühselig ist es mir dann gelungen die Zeilen herauszufinden, die diesen Virus angeblich tragen (dazu muss man natürlich mal vorübergehend den AntiVir deaktivieren, sonst geht gar nichts bezüglich der eigenen Analyse). Da waren 2 Zeilen Javascriptcode bekannter Natur im html drin, die den Alarm auslösten. Die habe ich an Avira geschickt mit dem Hinweis des Ursprungs (ebay), damit die diesen ärgerlichen Fehlalarm schnell beseitigen. Am nächsten Vormittag waren die Definitionsdateien dann korrigiert und es gab eine Mail von Avira die die Unschädlichkeit bestätigten. Letzteres ist mir schon ein paar mal wiederfahren. Defender habe ich unter Windows 7 nur ab und an mal laufen. AntiVir ist das entscheidende Programm zur Virenabwehr in Webseiten nebst einem Javascript-Blocker.
Achso, deine Überschrift "Virus .. von µC.net" hätte hier schon das halbe Forum kopfstehen lassen, wenn das zuträfe. Mein Defender meldet jedenfalls nix und AntiVir ebenfalls nicht. Du warst also etwas voreilig in der Bezichtigung µC.net hätte dir den Virenbefall gebracht.
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.