Viren & andere nette Haustiere

**Enkidu** · 05.02.2004, 23:48

Mein Virenprogramm Antivir hat vor ein paar Tagen den Virus TR/Small.AR auf meinem Notebook gefunden. Die befallene Datei war "c:\x.exe". Zusätzlich gabe es noch eine Datei "y.exe", die allerdings nicht erkannt wurde.
Nachdem ich beide Dateien gelöscht habe findet Antivir nichts verdächtiges mehr, trotzdem erscheint ständig im Infobereich der Taskleiste (Windows XP) für kurze Zeit (zu kurz um es erkennen zu können) eine Anwendung, welche sofort wieder verschwindet. Im Taskleisten-Menü "Info-Bereich anpassen" ist unter vorherige Elemente das Element "Sie haben neue E-Mail-Nachrichten" aufgeführt zusammen mit dem Symbol für Wechselstrom-Betrieb. Vor dem Auftreten des Virus war dies noch nicht der Fall.
Bisher habe ich im Internet noch keine Informationen über den Virus gefunden.
Ich hoffe, dass von euch jemand mir vielleicht helfen kann.

**Ghettomaster** · 06.02.2004, 07:36

Nur um es generell mal festzuhalten, es ist normal das manchmal Programme ganz kurz in der Taskleiste auftauchen, das sind meist ganz normale Windows Dienstprogramme wie z.B. das Windows Media Update.

CU
Ghettomaster

**Enkidu** · 06.02.2004, 08:02

Wenn es ein Windows-Dienstprogramm wäre, wäre es ein ziemlicher Zufall, dass es zusammen mit diesem Virus auf einmal aufgetaucht ist. Dass ich es bisher nur übersehen habe, halte ich auch für unwahrscheinlich, da dieses "Zucken" in der Task-Leiste doch sehr auffällig ist.
Außerdem sind die automatischen Windows-Updates bei mir ausgeschaltet.

**mukenukem** · 06.02.2004, 10:17

Schau mal in der Registry im Key "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft&# 092;Windows\CurrentVersion\Run" nach, ob dort ein verdächtiges Programm gestartet wird. Wenn dir was unklar ist, dann poste einfach alle Programme, die drin stehen.

Außerdem, schau mal im Startmenü im Autostart rein, ob da was verdächtiges steht...

**Last_Gunslinger** · 07.02.2004, 19:57

Bei mir ändert sich nach jedem Neustart die IE-Startseite. Ich habe normalerweise einfach ne leere Seite eingestellt, aber jetzt kommt jedesmal so ne seltsame Suchmaschiene. Wenn ich es dann wieder auf leere Seite umstelle ist es gut bis zum nächsten Neustart.
Ich habe schon Norton 2004 und Adaware durchlaufen lassen, und die Cookie und alles gelöscht aber es kommt immer wieder.
Was kann ich machen?
Hier mal die Registry:HKEY_LOCAL_MACHINE\SOFTWARE\Mic rosoft\Windows\CurrentVersion\Run

Ist da irgendwas das da nicht hingehört? Oder was kann ich sonst machen?

**Alucard** · 07.02.2004, 23:01

ich hatte mal das gleiche, erst einmal die exe entfernen

dann regedit ausführen -> hkey_current_user/software/microsoft/internetexplorer/main

und dort den eintrag start page (der ja von dem bösen ding verändert wurde) umbenennen, anschließend den eintrag start page neu machen und den umbenannten löschen (klingt kompliziert, ist es aber nicht

)

was sein kann ist dass es einen eintrag mit start page_1 gibt, den kannst auch löschen

**Last_Gunslinger** · 08.02.2004, 01:41

Danke, aber welche Exe muss ich denn löschen?

**Alucard** · 08.02.2004, 02:37

normalerweise wird dir ne exe hinterlassen von der speziellen seite, in fast allen fällen entfernt die adaware sowieso aber man kann ja nie wissen

selbst wenn du sie schon einmal mit adaware gelöscht hast kanns sein dass sie dank des registry eintrags wieder da ist also sicherheitshalber nochmal mit adaware nachschaun

**Nager** · 08.02.2004, 03:20

Enkidu: Ich habe auch keine weiteren hilfreichen Infos gefunden.
Wenn ich bei Google suche, erscheint noch auf Seite 1 ein Link zu diesem Thread hier. *g*
ich gehe aber davon aus, dass das Ding weg ist, wenn du die Dateien gelöscht hast und dir keine merkwürdigen Prozesse auffallen.

Bei meinem Notebook erscheint übrigens auch öfters irgendeine "Anwendung" im Tray, die sofort wieder verschwindet. In meinem Fall sind das irgendwelche Popup-Blasen vom System selbst, die mich z.b. panikartig darüber in Kenntnis setzen wollen, dass auf meiner Systempartition nur noch 5 MB frei sind, etc. Diese Funktion habe ich aber mittels XPAntispy deaktiviert - daher verschwinden die Blasen gleich wieder, ohne mich zu nerven - spätestens wenn ich mit dem Mauscurser darüberfahre.

L_G: Zuerst eine Bitte: Könntest du eventuell das Bild etwas verkleinern bzw. auf den relevanten Ausschnitt zurechtschneiden? Du sprengst diesen Thread damit.

Deiner Beschreibung nach hast du dir wohl irgendwas gefangen.
Das kann was harmloses wie My Search sein (kommt z.B. über Morpheus oder Grokster ins System und beschränkt sich darauf, dich - IE vorausgesetzt - ab und an auf die nette Such-Seite zu leiten), oder auch etwas schlimmeres. Dass NAV nix findet, bekräftigt nur die negative Meinung, die ich von dem Programm habe. Die meiste Spyware läufft bei Norton halt nicht unter "Viren". Hier hilft dir eher Software wie Spybot Seach & Destroy weiter.

Was deinen Screenshot angeht: Bei einer ganzen Reihe der autostartenden Programme frage ich mich nach deren Sinn. (My TV Agent, CHotkey, Dit, Pointer, Soundman). Im Zweifelsfall würde ich diese einfach mal entfernen und dann schauen, ob du was vermisst. Auch würde ich an deiner Stelle die üblichen Verdächtigen Quicktime, Real, Nero, CloneCD und Winamp aus dem Autostart kicken, aber das ist Geschmacks- (und Speicher)Sache.

Dazu aber noch eine generelle Anmerkung: Es ist überhaupt nicht (mehr) nötig, manuell an irgendwelchen Registry-Schlüsseln rumzufriemeln. Microsoft liefert nicht umsonst das (wohlweislich undokumentierte) "Systemkonfigurationsprogramm" msconfig mit. Meines Wissens nach nicht nur unter XP, sondern schon unter 98.

Start > Ausführen > msconfig

Das tool liefert eine komfortable Übersicht über alle möglichen automatisch mit dem System startenden Programme. Wenn man nur mal probieren möchte, ob das Entfernen eines Programmes Auswirkung hat, kann man einfach das entsprechende Häkchen entfernen und im Zweifelsfall wieder neu setzen, falls man doch einen "guten" Prozess gekillt hat, den man noch braucht - und steht nicht vor dem Problem, einen gelöschten Registry-Schlüssel manuell rekonstruieren zu müssen.
Dazu bietet msconfig im Gegensatz zur Prozess-Ansicht im Taskmanager die bequeme Option, die windowseigenen Dienste auszublenden, so dass man schnell mögliche Bösewicht-Prozesse ausfindig machen kann (und auch nicht auf Mails hereinfällt, die einen dazu animieren wollen, den bösen Virus svchost.exe und dergleichen zu entfernen). Also: Die Zeiten, in denen man die "Run"-Schlüssel in der Registry abgrasen muss, sind vorbei.

**Last_Gunslinger** · 08.02.2004, 12:27

Ich hab jetzt damit Start > Ausführen > msconfig rumgespielt und meine
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft&#0 92;Windows\CurrentVersion\Run
ist auf folgendes geschrupft:

Ausserdem hat Spybot zwar beim ersten Durchlauf nen paar Sachen gefunden.
Aber die Seite kommt immer noch nach jedem Neustart und jetzt findet Spybot nichts mehr.
Genau steht dann bei Startseite:
http://%6B%76%7A%64%6B%69%2E%74%2E%7...70%2E%70%68%70
und die Seite auf der ich dann lande http://drxcount.biz/index.php?aid=20037
Folgt dem Link aber besser nicht nachher habt ihr die Kacke auch noch.
Und steht dann noch Cotact Us und dann kommt man zu ner Seite wo das steht:

If you cant change your home page or search page setting
please use spyware removal software.
you can download it here
http://216.180.233.153/~merijn/files/CWShredder.exe

Aber ne Exe von dieser Seite möchte ich gar nicht erst ausprobieren.

Edit
@Alucard:

Ich hab jetzt mal da rein geguckt:
dann regedit ausführen -> hkey_current_user/software/microsoft/internetexplorer/main

Und bei
HomeOldSP
SearchBar
SearchPage
Startpage

steht dies http://%6B%76%7A%64%6B%69%2E%74%2E%7...70%2E%70%68%70
hinter.
Aber wenn ich das lösche oder auf about:blank ändere ist es nach dem Neustart auch wieder da.

**Nager** · 08.02.2004, 13:20

Vielleicht ist das ein guter Zeitpunkt, um auf einen anderen Browser zu wechseln.

http://www.opera.com
http://www.mozilla.org

**Alucard** · 08.02.2004, 14:20

hmm... das scheint ja einer der hartnäckigeren sorte zu sein, versuch mal mit der suchfunktion alle einträge zu finden die den eintrag http://%6B%76%7A%64%6B%69%2E%74%2E%7...70%2E%70%68%70 haben oder auf den namen der suchmaschinen seite laufen! meistens haben die sogar nen extra eintrag im software verzeichnis also alles was dir irgendwie verdächtig vorkommt anschaun und gegebenenfalls löschen.

unter dieser url solltest du ein recht nützliches programm finden auch wenns jetzt nur mehr ne probeversion ist.

**Last_Gunslinger** · 08.02.2004, 15:04

Es ist endlich weg. Nach stundenlangen Kampf hab ich gesiegt.
@Alucard: Deine Tools haben es zwar auch nicht weg bekommen, aber dafür über 800 überflüssige Reg.Keys gefunden und entfernt. War also trotzdem nützlich.
Die Lösung hab ich hiergefunden.
Dies CW-Shredder war also nichts böses.

**mukenukem** · 09.02.2004, 00:41

Imho hat das regedit -s sys.reg auch nix in deiner Registry verloren. Schaut so aus, als ob bei jedem Start wieder was in die Registry importiert wird. Die sys.reg würde ich mal unter die Lupe nehmen (am besten win Wordpad oder so, weil Doppelklick importiert in die Registry)....

Den Nerocheck kannst du eigentlich auch raushauen, allerdings ist der nix böses.

**Last_Gunslinger** · 09.02.2004, 02:36

Wofür ist der Nerocheck denn? Ich hab da extra nicht rumgemurkst, weil ich Angst hatte das der Brenner dann streikt.
regedit -s sys.reg und sys.reg sind inzwischen entfernt worden. Entweder von einem von Alucard-Tools oder von dem CW-Shredder.

**Nager** · 09.02.2004, 14:53

Nerocheck: Background Task installed by Nero?s CD Burning software. Straight from Ahead software : "The NeroCheck program looks for known driver conflicts with our Nero software. So that when a Nero Log file is printed, at the very bottom of the Nero log file you will find a list of drivers we have found on your system that could be causing conflicts, if you are running into problems.".

Recommendation :
If Nero is working on your system then you do not need NeroCheck to run. Disable it (...) unless you experience problems with Nero, in which case re-enable NeroCheck to see what the log file reports.

http://www.answersthatwork.com/Taskl...tasklist_n.htm

**Enkidu** · 10.02.2004, 17:23

Danke für eure Tipps.

Für die, die es noch interessiert:
Nachdem ich im Internet nach verschiedenen Trojaner-Scannern gestöbert und mich durch die Logs von Hijack, FileMon und RegMon gearbeitet habe, glaube ich nun die Ursache gefunden zu haben. Meine neue Antivir-Version, die ich runtergeladen habe (nachdem der Virus gefunden wurde), funktioniert nicht richtig. Der AVGuard, der normalerweise im Hintergrund läuft, kann komischerweise nicht gestartet werden. Alle paar Sekunden versucht Antivir ihn zu starten, was zu diesem "Zucken" in der Task-Leiste führt. Ich versuch jetzt eine Neu-Installation und hoffe, dass es dann klappt.

Was sind eigentlich eure Erfahrungen mit Antivir, bzw. wie gut kann man sich auf ihn verlassen?

**Nager** · 10.02.2004, 19:34

Enkidu: Möglicherweise hat der Virus noch einen Mechanismus im System zurückgelassen, der das Ausführen eines Residenten Virenscanners verhindert? Keine Ahnung sonst.. probiers aus.

Ich selbst habe mit Antivir beste Erfahrungen gemacht. Die Software ist schlank, unaufdringlich und zuverlässig. Ich habe damit schon einige "befallene" PCs gesäubert. Aus meiner Sicht heraus ist es ziemlich unverständlich, wieso jemand für einen Virenscanner Geld bezahlt, wo es Antivir kostenlos gibt.

Gerade bei NAV höre ich immer und immer wieder von irgendwelchen Problemen im Zusammenhang mit dem speicherresidenten Virenscanner.

Im übrigen ist oft *kein* Virenscanner gegen aktuelle Viren gefeit, denn Signaturen werden mitunter erst Tage nach Ausbrechen einer neuen Virenwelle aktualisiert (so gerade erst wieder bei MyDoom geschehen).
Gegen Spyware hilft er wie gesagt meistens gar nicht - dafür benötigt man zusätzliche Software (siehe oben).

Sicherheit fängt meiner Meinung nach nicht bei der Wahl des "richtigen" Virenscanners an, sondern bei der Einrichtung einer personal firewall, der Verwendung von alternativer Mail / Browser-Software (oder dem ständigen Einspielen neuer Sicherheitspatches für die verbreiteten MS-Produkte) und vorallem dem verantwortungsbewussten Umgang mit eben diesen Programmen und dem Internet im allgemeinen. Benutzer sollten sich selbst im Klaren darüber sein, dass man eine .exe-Datei im Mailanhang, auch wenn die Mail angeblich von der Kriminalpolizei Düsseldorf oder einem guten Freund stammt nicht einfach ausführt - auch wenn der Virenscanner beim Anblick der .exe gleich Alarm schreit und einen gar nicht an die Datei ranlässt. Niemand sollte der Illusion vertrauen, dass das Installieren eines Antivirenprogrammes automatisch für Rundum-Sicherheit sorgt. Die nächste angehängte .pif-Datei lässt der Scanner dann passieren und schon ist der neue Virus im System..

**BLOODTHIRST** · 12.02.2004, 19:05

was auch für antivir spricht ist, dass er von der updatesperre von mydoom (oder wars der vorgänger?) nicht betroffen war. während besitzer von symantec und 2-3 weiteren nichts tun konnten.

**Dr.BrainFister** · 11.08.2004, 12:29

beim scan wurde in der datei "sctasks.exe" die signatur des wurmes Darce.A.4 entdeckt. die datei konnte gelöscht werden. ist das ein neuer wurm? antivir entdeckte ihn erst heute nachdem ich das letzte update installierte. bei einem intensiv-scan gestern wurde noch nix gemeldet.