Jump to content
DarkVampire666

Was in einer Nacht so passieren kann...

Recommended Posts

Hallo !

 

Ich schreibe diese Geschichte nun in mehreren Teilen,

weil ich sie mit Screenshots untermalen möchte.

 

Alles fing damit an, daß ich gestern Nacht ein wenig

auf Webseiten herumstöperte und auf einer Page landete mit

einem Exploit drin. Den erkannte Kaspersky auch und blockierte den Zugriff.

 

Anschließend machte ich noch einen Virenscan und es wurde nichts gefunden.

 

Danach legte ich mich schlafen und ließ meinen Freund an den PC.

Mein Freund bekam dann irgendwann offenbar eine Spammail,

die er aber nicht als solche erkannte - also klickte er den Link in der Email an

( die verlinkte Website kannte er irgendwie schon ) und lud auf dieser Website

dann ein Programm herunter namens "rapidshare grabber.exe",

welches verseucht war. Mein Freund lud das Programm ursprünglich

auf seinen MP3-Player, welcher in meinem Hub eingesteckt war ( Laufwerk G ),

mein PC selbst wurde aber trotzdem verseucht.

 

Das wurde gefunden ( siehe Attachment 1 ) :

post-30176-1171314217.jpg

Share this post


Link to post

Die vier als potenziell gefährlich beurteilten Objekte wurden gelöscht und in den Backup-Speicher verschoben, wo sie kein Unheil mehr anrichten können.

 

Hat Web-AV beim Herunterladen nicht Alarm geschlagen?

Share this post


Link to post

Bei der ersten Durchsicht fällt mir nichts Alarmierendes auf. Ich würde allerdings den Browser Cache leeren.

 

Edit: Perflogger sind vermutlich "Performance Logger".

Share this post


Link to post

Richte deinem Freund ein eigenes Benutzerkonto mit eingeschränkten Rechten (Benutzer) ein, dann kannst du ihn unbeaufsichtigt lassen. -_-

 

Ansonsten wurde alles geblockt. :)

 

 

 

 

Kilauea

Share this post


Link to post

Diese Dinge passierten uns übrigens in einem eingeschränkten Benutzerkonto,

mit Kaspersky gescannt habe ich offline im Administratoren-Konto.

 

Ich habe alles desinfiziert und was dann im Kaspersy unter "Back up" stand, gelöscht.

 

Dann habe ich nochmal einen Virenscan durchgeführt, dann noch einen Scan

der kritischen Bereiche und es wurde nichts mehr gefunden.

 

Dann startete ich den PC neu und gefunden wurde noch dies ( siehe Anhang 4 ) :

post-30176-1171315030.jpg

Share this post


Link to post

@ Galileo : was sind "Performance Logger" ?

 

naja - das, was nach dem Neustart gefunden wurde, wurde dann automatisch

von Kaspersky beseitigt.

 

Dann scannte ich erneut nach Viren und auch die kritischen Bereiche

und es wurde nichts mehr gefunden.

 

Dann startete ich den PC nochmal neu und scannte noch einmal -

wieder kein Fund mehr.

 

Dann habe ich den PC ausgeschaltet und erst heute Abend wieder hochgefahren.

Ich startete einen Scan im Admin-Konto und beim 1. Versuch schmierte mir der Rechner ab.

Dann funktionierte es aber nach einem weiteren Start tadellos.

Es wurde wieder nichts gefunden.

 

Die Scans allerdings gingen sehr schnell.

Schon der 2. Scan gestern Nacht war erstaunlich schnell über die Bühne gegangen,

brauchte für alles nur 23 min oder so ( sonst dauert das Scannen so 2,5 Stunden )

und alle weiteren Scans dauerten nicht mal 10 min...

Ist das normal ? In den Einstellungen versändert habe ich nichts...

 

Kann ich jetzt eigentlich sicher davon ausgehen, daß mein Rechner wieder sauber ist ?

Muß ich mir da noch Gedanken machen ? Muß ich meine ganzen Paßwörter ändern ?

Was ist sonst noch zu beachten ?

 

Paßwörter gespeichert auf meinem Rechner habe ich keine.

Aber wie sieht es aus wegen einer evtl Eingabeüberwachung ?

 

Ähneln Permonance Logger evtl in ihrer Funktion Trojanern ?

Was richten diese Programme genau auf meinem PC an ?

Edited by DarkVampire666

Share this post


Link to post

Der zweite Scan ist immer schneller da meist keine neuen Signaturen vorliegen, das erkennst im Report an dem Eintrag "iSwift". Wenn keine neuen Signaturen von den Updateservern geladen wurden werden die Dateien nicht nochmal gescannt, erst wenn neue Bedrohungssignaturen vorliegen.

 

Du brauchst deine Passwörter nicht ändern, die malware war nicht aktiv. :)

 

 

 

Kilauea

Share this post


Link to post

Es handelte sich also um Malware ?

Was genau ist das eigentlich ? Was macht die ?

 

Die infizierten Dateien waren wahrscheinlich schon so 1-2 Stunden

auf meinem PC drauf ( bis eben aufgewacht bin und oben genannte Maßnahmen ergriff ).

Insofern weiß ich nicht, ob da was aktiv geworden ist...

 

Sollte ich evtl nochmal eine Scan machen mit den neuen Signaturen ?

Oder ist das überflüssig ? Ich will ja eigentlich nur sichergehen, daß mein PC wieder

sauber ist und ich hier nichts formattieren muß oder so...

Edited by DarkVampire666

Share this post


Link to post

Der "monitor.win32.perflogger.163" ist seit dem 24 Jun 2005 13:22 GMT in den Signaturen von Kaspersky eingepflegt. Daher konnte er nicht aktiv werden, er wurde erkannt. Er wurde nicht erst durch ein späteres Update erkannt nachdem er auf deinem Rechner war, sondern schon beim Download.

malware - ist der Oberbegriff für Schadprogramme im allgemeinen, sei es Trojaner, Virus, Wurm, Backdoor etc.

 

Bleib cool. :)

 

 

 

Kilauea

Share this post


Link to post

Ahja - mein Freund hatte erwähnt, daß sich Kaspersky nach ein paar min gemeldet

und Alarm geschlagen habe, nachdem der Krams runtergeladen wurde.

 

Den Browsercache habe ich nun geleert, ebenso Cookies und Formulardaten...

Share this post


Link to post

Ich habe jetzt mal in der Viruslist von Kaspersky geschaut.

 

Dort steht, daß es für "Monitor.Win32.Perflogger.163" keine Beschreibung gibt,

es scheint aber wohl ein Trojaner zu sein, wie mir scheint.

Kann das wirklich nichts auf meinem PC anstellen, wenn es Kaspersky kennt ? o.0

Share this post


Link to post

Gut gefragt, schwer zu erklären. :)

 

Es handelt sich um eingebette Objekte, meines Erachtens wurde das vorliegende Verzeichnis geblockt/in das Backup verschoben, somit ist das nachfolgende Objekt nicht

mehr auffindbar.

 

_ In einer Datei befinden sich zwei zu löschende Objekte, beim Fund des ersten wird die Datei gelöscht, somit ist das zweite nicht mehr auffindbar.

 

Allerdings habe ich noch nicht herausgefunden was da eigentlich gefunden wurde. Die Viruslist gibt da nicht viel her. <_<

 

Ich suche noch.

 

 

 

 

Kilauea

Share this post


Link to post

Ad-Aware beisst sich nicht mit Kaspersky, allerdings hat es bei mir noch nie etwas _zusätzlich_ gefunden. -_-

 

 

 

 

Kilauea

Share this post


Link to post

@ Kilauea : Offenbar handelt es sich um einen Trojaner,

da in der Viruslist steht :

 

not-a-virus:Monitor.Win32.Perflogger.163 (Kaspersky Lab) auch bekannt als: Trojan.Peflog.31 (Doctor Web), TR/Spy.Perfect.2 (H+BEDV), Trojan.Perflog.2 (SOFTWIN), Trojan.Keylogger.AC (ClamAV)

Share this post


Link to post

Es steht aber auch da: not-a-virus

 

Es wurde durch die erweiterten Signaturen gefunden, diese beinhalten Scherzprogramme, Jokes und ähnliches.

 

Es ist kein Trojaner/Backdoor.

 

Ich sehe in deinem log keinen Eintrag der Anlass zur Besorgnis gibt. Es wurde imho alles geblockt bzw ins Backup verschoben.

 

 

 

Kilauea

Share this post


Link to post

Trojaner werden nicht als Viren bezeichnet sondern als Trojaner, genauer: als Backdoor.

Würmer als Wurm, Viren als Virus, Spyware als Spyware etc. :)

 

 

 

Kilauea

Share this post


Link to post
Trojaner werden nicht als Viren bezeichnet sondern als Trojaner, genauer: als Backdoor.

Würmer als Wurm, Viren als Virus, Spyware als Spyware etc.  :)

Kilauea

 

 

Ahja - aber in der Viruslist von Kaspersky steht doch in dem Eintrag

was von Trojan USW...

Share this post


Link to post

Hmmm, du bist fürchterlich beunruhigt, richtig ?

Lass den Thread noch ein bißchen stehen, es werden sich noch andere dazu äussern.

Ich persönlich sehe bei dir keine Infektion.

Kaspersky hat angeschlagen, sowas kommt vor. :)

 

 

 

Kilauea

Share this post


Link to post

Ja, das bin ich in der Tat !

Darum will ich alles genau wissen.

 

Ich scanner nachher nochmal alles im abgesicherten Modus ab.

Dann hat man offenbar eine 99%ige Sicherheit.

 

Von anderer Seite hat mir allerdings auch schon jemand geraten,

das BS neu aufzusetzen. Er schrieb :

 

Ohne dir weitere Angst machen zu wollen,aber es wird immer

geraten,bei Malwarebefall neu aufzusetzen,wenn man 100% sicher sein will.

 

Deine Frage,ob es nun sicher ist,wenn du alle möglichen

Scanner drüberlaufen läßt,kann dir eigentlich keiner "sicher" beantworten können.

 

Normalerweise sollte man davon ausgehen,daß es nach einem

Scan in Ordnung ist,aber du weißt nicht,ob es tatsächlich so ist.

Vor allem,wenn keine Beschreibungen online verfügbar sind.

 

Abgesicherter Modus ist auf jeden Fall schon mal eine Option

auf 99%ige Sicherheit.

Share this post


Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.