Mein Notepad - Ein Wurm???

Hallo Leute,

Kurios:
Mein Antivirenprogramm (Antivir PE) hat soeben bemerkt, dass die Datei "Notepad.exe" scheinbar ein Trojaner ist...

"TR/Revop.Downloader"

Ich hab die Datei jetzt mal ins Quarantäneverzeichnis verlegt.

Natürlich kann ich jetzt den Notepad - Editor nicht mehr verwenden.

Was haltet ihr davon?

Danke & Gruß,
Koesi

 

Freilich war das eine Bastellösung. Kennst du unter Windows irgendwas, was KEINE Bastellösung wäre? Siehste. Was das Funktionieren betrifft: Ich kenne niemanden, bei dem es NICHT funktioniert hätte und ich kenne doch ne ganze Reihe Leute und unterschiedliche Rechnerkonfigurationen. Aber Bastellösungen sind eben nichts für Leute mit ungeschickten Händen.

 

das war eine bastellösung, sonst nix. und funktioniert hats auch nicht immer richtig.

 

Ich versuche immer auf dem Laufenden zu bleiben. Leider schaffe ich das nicht immer. (Wie man es an diesem Fall ja deutlich gesehen hat.)

Also den IE benutze ich eigentlich gar nicht mehr. Mozilla bietet höhere Zuverlässigkeit und Sicherheit, inzwischen sogar ähnliche Kompatibilität, bei leichten Geschwindigkeitsabstrichen. Aber das ist für mich in Ordnung.
Ich habe auch eine zeitlang Opera benutzt, was auch ein passabler Browser ist.

Vielen Dank für deine ausdauernde Hilfe und Ratschläge,

Gruß,
Jens

 

Auch der braucht Signatur-Updates. Das Lesen von Malware-Analysen ist sehr zu empfehlen. Heise kann auch nicht schaden.

Bei WinXP? Endgültig? Nein. Man kann bestenfalls den IE ausschließlich fürs automatische Windows-Update nehmen (weil das ja nur mit ActiveX läuft) - es sei denn du machst manuelle Updates - und für den Rest nimmst du eben nen anderen Browser.
Installiere dir keine Ad-und Spyware, von Malware ganz zu schweigen.

 

Hmmm. Es ist bei mir erst zwei mal vorgekommen, dass mein Virenprogramm Alarm gegeben hat. Das eine mal ist der hier beschriebene Fall, und das andere Mal handelte es sich um einen uralten Java-Script-Schädling. (Den Namen erwähne ich nicht, sonst hagelt's virtuelle Schläge)

Mein "wichtigster Schutz" ist (wie schon erwähnt) gesunder Menschenverstand...

Oje... was kannst du mir raten? Ich habe schon mit dem Gedanken gespielt auf Open-Source Angebote umzusteigen, aber es gibt leider ein paar Gründe, welche mich davon abhalten...

Gibt es keine Möglichkeit diese Schwachstelle "abzudichten"?

Danke & Gruß,
Koesi

 

Du verstehst mich miss.
Wenn du den Virenscanner als informatives, aber nicht wesentliches Zusatztool benutzt, um häufig eine von vornherein verdächtige Datei on demand zu scannen aus reinem Interesse, welche Malware das ist, sollten die Virensignaturen natürlich aktuell sein. Wenn er dagegen dein wichtigster Schutz ist, hast du so oder so bereits verloren, auch mit aktuellen Signaturen.

Bis WIN98SE war das noch recht zuverlässig machbar, z.B. mit IERadicator bzw. 98lite. Da aber bei den Nachfolgeversionen von Windows die Verzahnung wesentlich enger ist und z.B. auch die Windows-Hilfe, Office, StarOffice, der Virenscanner von McAfee und diverse andere Progamme die HTML-Rendering-Engine des IE benutzen, dürfte das nahezu aussichtslos sein. Es ist ja nicht nur die EXE, sondern vor allem etliche DLLs, ohne die dann oft zappenduster ist. Hach, hab ichs gut.

 

Aktuelle Virendefinitionen sind nicht wichtig?

Ich verlasse mich keineswegs auf die Ergebnisse meines Virenscanners. Wie du schon geschrieben hast sind Vorsicht und Vorsorge hier weitaus wirksamere Werkzeuge. Tja, diesmal hat das scheinbar nicht gereicht. Ich guck in die Röhre.

BTW: ich sitze z.Zt. nicht am betroffenen System...


Wenn dieser Schädling tatsächlich seinen Zugang durch den inaktiven IEX gefunden hat, bin ich wieder um eine Lektion schlauer. Nach der Neuinstallation fällt der IE nun auch unter die Programme, welche meinen Rechner leider verlassen müssen...

Danke dafür.

Gruß,
Jens

 

Sah ich auch mal so. Ist aber nicht korrekt.
Grob fahrlässig ist es, wenn man nach dem Ausführen schädlichen Codes auf dem System und Bemerken dieses Sachverhalts den Rechner am Netz lässt, weil ja der Virenscanner was gefunden oder gelöscht hat.

 

Gott bewahre!

Das muss es wohl sein. Konnte und kann mir nur nicht erklären wann und wo dies passiert sein soll.

Das ist er tatsächlich. Ungenutzt - aber im System. Das wäre zumindest eine Erklärung.

Das ist natürlich richtig. Ich sagte ja auch nicht, dass ich mich NUR darauf verlasse. Aber OHNE aktuelle Virendefinitionen im Netz zu surfen halte ich auch für grob fahrlässig...

Unter dem Aspekt, dass ich ja scheinbar wirklich nicht vorsichtig GENUG war, nehme ich diesen Rat gerne an.


Danke auch für deinen link. Die Registry ist allerdings sauber. (Hatte ich natürlich direkt geprüft)


Vielen Dank also für deine bissige aber nichtsdestotrotz tatkräftige Unterstützung.

Gruß,
Koesi

 

Vielleicht gibts dieses Jahr Wetter.

Du hast eine Datei aus unsicherer Quelle zur Ausführung gebracht.
http://www.sophos.com/virusinfo/analyses/trojwinpupc.html

Ist der IE noch im System?

Eben.

Besagt gar nichts.
Virenscanner irren.

Sei noch vorsichtiger.

 

Ist wirklich schon was älter.
Hatte mich nur daran erinnert, weil ein Bekannter sich damals genau den Wurm eingefangen hatte.

Vielen Dank übrigens für den Link. Vielleicht setze ich mein System wirklich komplett neu auf.

Ich wüsste trotzdem gerne, wie ich mir den zugezogen habe. Eigentlich habe ich die größten Gefahrenstellen abgeschaltet:

-benutze kein IEX (sondern Mozilla)
-keine Filesharing-Software
-besuche an sich nur Websites, von deren Sicherheit ich überzeugt bin. (ok, da kann man sich nie 100%ig sicher sein)
-kein Outlook
-immer die aktuellen Virendefinitionen
-Bin wirklich vorsichtig. (was wohl das wichtigste der genannten ist)

Wenn es nicht zu viel Mühe ist, vielleicht könntest du mir ja ein paar Tips geben, wie ich so etwas in Zukunft vermeiden kann.

Danke & Gruß,
Jens

 

Quaz hat nen Bart. Mittlerweile gibts längst dutzende Nachfolger.
Ist aber völlig egal.
Es besteht ein erheblicher und begründeter Verdacht, dass das System kompromittiert ist.
Ergo:
http://oschad.de/wiki/index.php/Kompromittierung

 

Das ganze erinnert mich an einen Trojaner, welcher vor ein paar Jahren auf Win95 Systemen sein Unwesen trieb:

"W32.HLLW.Qaz.A"

Der hat auch die Notepad.exe überschrieben, und diese in "note.com" umbenannt. Damit der Anwender nichts merkt, startete der Schädling, nachdem er vom Anwender aktiviert wurde die umbenannte Datei...

Habe gerade nach Note.com gesucht. Nicht fündig geworden.

Ich frage mich nur, wie ich mir das Teil eingefangen habe.
Premiere: meine erste Malware...

Gruß,
Koesi

 

hallo


wie groß?is denn deine notpad exe

sollte nicht mehr als 66Kb haben

Don

 

Es gibt gleich einen ganzen Haufen Würmer und Trojaner, die die Original-Datei durch ein schädliche Kopie ersetzen. Kann also durchaus sein.

 

Wen meinst du mit Profi? ICH bin keiner. Und weder bei den etwa 20 Rechnern, wo ich es nutzte noch bei meinen Bekannten gabs Probleme.

Meinung != Erfahrung

 

Ist klar...
Das ist auch nichts für welche, die sich damit gut auskennen!
Hast Du Dir mal angeschaut, welch tiefgreifende Veränderungen vorgenommen werden?
Dermaßen harte Manipulationen könnten selbst einem "Profi" wie Dir schwer zu schaffen machen.
Meiner Meinung nach ist es reines Glück, wenn danach ein System noch läuft und hat mit "Erfahrung" überhaupt nichts zu tun!

 

Dankesir.

 

Nichts für Anfänger, die sich weder mit anderen Browsern, mit der englischen Sprache, mit Datensicherung oder überhaupt mit ihrem PC gut auskennen.

Man muss sich darüber im Klaren sein, dass dieses Programm zwar extrem nützlich ist, aber auch sehr tief ins System eingreift. Mal eben ein paar Häkchen anklicken is nich.