Hiillffeeee......

[markus]

Wir haben hier in der Firma ein grosses Problem..

 

Seit gestern sind diverse Rechner mit einem Virus befallen der konsequent Traffic auf den Gateway zum ADSL Router generiert.. das geht soweit dass das netz überlastet wird..

 

Gefunden haben wir auf diesen Rechner folgendes:

 

c:\port.exe

Trojaner w32/Startpage.ec

 

Auf diesen rehcner ist im Explorer nun auch eine neue Symbolleiste erschienen die sich "Elitebar" nennt..

 

Adaware Spyboot etc. wie auch der Normen Antivirus konnten dagegen nichts ausrichten..

 

Wer kann uns helfen?

 

Wo finde ich die geeignete "Waffe" gegen diesen Plagegeist?

[Mad Dog]

Hi Markus

 

Zwar habe ich nicht grosse Ahnung von PCs, aber einst fand ich für mich eine Anleitung, die zumindest bei mir half. Leider fand ich die Seite nicht mehr, aber hier fand ich etwas ähndliches. Vielleicht hilft es dir.

[Johannes Müller]

Hi Markus, wenigstens brauchst du nun kein Kaffe mehr, um wach zu sein :)

 

Schau mal hier:

http://www.pestpatrol.com/PestInfo/G/GateCrasher.asp

vielleicht wäre das ein Versuch wert. Da gibt's einige Tasks zum schliessen + Dateien zu löschen. Wenn's schlimm ist, hast du dir jemanden eingefangen, der deine Computer effektiv "gehackt" hat und nicht nur einen einfachen Virus. Wenn das so wäre (hacker), dann kannst Du das aber über die Versicherung zahlen lassen + ggf. Anzeige erstatten (dann dürftest Du aber den PC nicht weiter verwenden sondern musst ihn "sichern" lassen, sozusagen als Beweismittel). Die Mobiliar hat z.B. eine EDV-Versicherung, die Hackerangriffe bezahlt (nicht aber Viren).

 

Daneben sollte theoretisch "Norman Virus Control" das beheben können (zumindest laut Website). Von http://www.norman.ch solltest du eine Demoversion holen können, mit einem Schlüssel für einen Monat (falls nicht, sende mir ein PN, ich kann dir einen Demoschlüssel liefern).

 

Und... probiere mit Trendmicro Housecall die PCs noch scannen zu lassen - Virus-Scanner ist nicht gleich Virus-Scanner, da würde ich in so einem Fall, auch wenn einer angibt es beseitigt zu haben - ein paar drüberlaufen lassen.

 

Ist vielleicht eine gute Zeit, um auf FireFox zu wechseln? http://www.firefox.com, jetzt in Version 1.0, auch auf Deutsch! Oder schalte zumindest im IE die Sicherheitseinstellungen auf Hoch :).

 

Klappts nicht, sende mir ein PN, oder ruf bei mir in der Firma an, evtl. habe ich ein bisschen Zeit über Mittag, um das ganze mit dir am Telefon anzuschauen :).

 

Gruss

Johannes

[Päde]

Hoi Markus

 

Probier mal den McAfee-Onlinesystemtest. Kann man via McAfee Homepage durchführen. Er erkennt dann allfällige Trojaner, eliminiert sie allerdings nicht. Dafür müsstest Du dann McAfee kaufen - runterladen.

 

Mir hat es insofern geholfen, dass McAfee Trojaner gefunden hat die andere Virenscanner nicht fanden.

 

Good luck ;)

 

Gruess, Päde

[Hannes S.]

Moin Markus!

Der W32 Trojaner hat mir auch Spaß gegeben.Es gibt da auf der Windows Page ein Update. welches eure PC'S resident machen sollte.Eigentlich sollte ich hier Geo machen, deshalb kann ich jetzt nicht weiter nach dem Link suchen.

Ade Hannes(Schulpc's haben was feines:))

[markus]

Hallo zusammen...

 

Vielen Dank für die vielen Tipps.. ich liebe das Flightforum.. auch Off Topic affenstark..

Wir haben via euren Link shier 2 super tools gefunden

 

HijackThis

taskmanager16

 

Und damit den Trojaner erwischt... und nun mit hochrotem Kopf festgestellt warum bei uns hier nur 50% aller Rechner davon betroffen waren...

 

Man sollte halt sich angewöhnen die Windows Updates auch wirklich zu machen.. denn genau die Rechner auf denen seit einiger Zeit keine Windows Updates gemacht wurden hats erwischt..

[Markus Burkhard]

Wie war das nochmal mit aussagekräftigen Themen-Titeln, Markus? :p

 

Burki

[markus]

War doch aussagekräftig... hier braucht eine Hilfe.... :)

 

Ehhmm spass beiseite... Asche auf mein Haupt... Trotz Off Topic sollte sich auch der Admin drann halten... :)

[Micky Miranda]

Hi Markus

 

hast Du die EliteBar auch weggekriegt?

Hier wird Dir evtl geholft ;)

 

Windows Update: Wieviele Rechner habt Ihr in der Firma?

Evtl wäre SUS von M$ eine Variante für Euch?

 

Wir haben auf diese Weise unsere gut 500 Rechner in drei Standorten gut im Griff. (Dass der Rest mit einer Deployment Software gemacht wird, erwähne ich hier nun nicht ;))

 

Gruess Jimmy

[markus]

Danke Jimmy

 

Jo den Elite Bar haben wir mit HijackThis wegbekommen.. momentan siehts so aus als hätten wir das System nun wieder im Griff... uuffffff :D

[Hannes S.]

Hey Markus!

Ich find den Zusammenhalt und die Hilfeleistung auch bei Non-Aviation Themen hier einfach super!

Aber zurück zum Thema, der 32er Trojan lässt sich im Grunde nicht einfach mit Virenscannern etc. löschen.Man kann ihn nur schwächen, trotzdem bleibt er im Hintergrund auf der Festplatte und es besteht leider jederzeit die Möglichkeit das er zurück zum leben erwacht.

Einzigste Möglichkeit euch von dem Teil zu befreien ist ein Recovern.

 

Bye Hannes

[Johannes Müller]

...Man kann ihn nur schwächen, trotzdem bleibt er im Hintergrund auf der Festplatte und es besteht leider jederzeit die Möglichkeit das er zurück zum leben erwacht.

Einzigste Möglichkeit euch von dem Teil zu befreien ist ein Recovern.

 

Hi Hannes

 

wie meinst du das? Entweder sind die befallenen EXE/DLL-Dateien bereinigt, die Troyaner-EXEs gelöscht und die Registry davon gesäubert (etc. was alles dazu gehört...), oder halt nicht... Wenn du natürlich noch die Dateien irgendwo herumliegen hast (deshalb: verschiedene, aktuelle AV-Programme + Tools zum prüfen verwenden!), dann kommt das ganze sicher immer wieder hoch. Wenn alles aber sauber ist, dann besteht - zumindest in dieser Hinsicht - kein Unterschied zu einer Neuinstallation ("Recovern" = Formattieren + neu installieren, nehme ich an). Dass eine Datei sauber ist, aber quasi unterschwellig den Virus/Troyaner mit sich trägt, kann es zumindest im PC nicht geben -- dann wäre die Datei ganz einfach nicht sauber.

 

Das gleiche gilt natürlich für entfernbare Datenträger, Disketten, CD-RWs, Tapes, PDAs, etc: Wenn du den Virus/Troyaner mitgesichert hast, kannst du ihn wieder aufladen :). Alles entweder prüfen oder vernichten (physisch, zerbrechen) und wegschmeissen!

 

@Alle + Markus: Tipp: Bestimmt jemanden im Büro als "Datenschutzbeauftragten", der dafür sorgt, dass es für alles saubere Procedures (Checklists :)) gibt. Wöchentliche Actionitems, Notfalllisten, Telefonnummern, etc. etc. Diese Person ist dann z.B. auch dafür zuständig, dass die Updates überall aufgeladen werden (und darf den Anwender auf die Finger hauen, wenn sie's nicht machen bzw. wenn sie schon wieder Kazaa installiert haben). In grösseren Firmen kann man das sicher besser organisieren, aber auch in kleineren Firmen ist es wichtig, dass nicht jeder Anwender Administrator spielen muss (bzw. überhaupt darf!) und seinen PC selber nach Lust + Laune unterhält. Wenn eine Person etwas besser aufpasst, kann man viele Sachen schon im Keim ersticken! Und wenn die Person mal nicht da ist (Ferien, Schiesstraining, etc.), können die anderen aufgrund der Checklists + Telefonnummern schon erste Schritte einleiten bzw. kompetente Hilfe anfordern.

 

Gruss

Johannes

[Hannes S.]

Hi Johannes!

Ne, ich hab mal gelesen das der Trojaner W32 ein sehr heimtükischer Virus ist.Er befällt 1. Datei, diese sollte das Virenprogramm anzeigen und diese kann man dann auch löschen.Dennoch verweilt er im Hintergrund, wie ne Kracke mit 1000 von Armen die man einfach nicht mit einmal Virenprogramm durchlaufen lassen deleten kann.

Deshalb bei dem W32, Recovern und Ruhe haben;)

 

Bye Hannes

[Marc L.]

Hallo

 

 

Hannes, der Virus heisst W32.Trojaner.x, das heisst, er heisst Trojaner und ist ein Trojaner. Ausserdem benennt ihn jeder Antivirenhersteller wieder anders, bei Symantec heisst er z.b. "Trojan.Startpage.X".

Man kann jeden Trojaner entfernen, wenn man es richtig macht, wie z.b. hier ersichtlich. Auch wenns zum Teil länger dauert und man es halt manuell machen muss. Was ich auch empfehlen kann, ist ein Image der System-Partition zu erstellen. Ich habe ein "leeres" Image, das heisst Win2k + Updates drauf und ein Image, bei welchem ich jede Software installiert habe und welches wöchentlich aktualisiert wird.

 

 

 

Gruss Marc

[Silvio Gely]

Dann müsste ich jede Woche recovern. Ich hab immer mal wieder nen Virus. Am meissten Mühe habe ich mit startpage.fb. Irgendwie findet den mein Virusscanner, und beim nächsten Aufstarten ist er wieder da. Aber ich kann damit leben. :-)

 

Apropos die HD von mehreren Virenscannern checken lassen. Installiert bitte nie den Norman AV auf nen PC, auf dem bereits der Norton AV drauf ist. Ich war so blöd, und das hat mich dann 2 Stunden meines Lebens gekostet, den PC wieder hinzukriegen.

 

Gruss

Silvio Gely