Rätselhafte Neuinfektionen

Hallo zusammen,

ich betreue den PC unserer Nachbarin, der trotz der kostenlosen Antivirensoftware "AntiVir PE" (ständig aktualisiert) immer wieder Virenverseuchungen aufweist, vor allem W32/Opaserv.

Plötzlich und unvermittelt treten plötzlich Meldungen des residenten Virenwächters auf, dass diese oder jene Datei verseucht ist, obwohl keine gebrannten CDs oder Datenträger eingelegt worden sind und auch aus dem Internet keine Programme installiert wurden.

Dann machen wir jedesmal eine Komplettprüfung des PC (erst mit AntiVir, dann mit PCKwilin auf Linux-Basis) und stellen fest, dass ein paar Vireninfektionen dem residenten Wächter entgangen sind, löschen alle infizierten Dateien und nach ein paar Wochen wiederholt sich das Spiel.

Ich habe nun folgende Fragen:

1.) Wenn wir verseuchte Datenträger ausschließen können, wie eine ständige Neuinfektion überhaupt möglich?

2.) Wie ist es möglich, dass einige Verseuchungen offenbar dem Virenwächter durchrutschen?

3.) Was kann ich tun, um das Problem besser einzugrenzen? Ob Norton Antivirus 2004 hier bessere Dienste leistet?

Vielen Dank für Eure Tipps!
HGWalther

 

Hallo Steele,

vielen Dank für den eindeutigen Hinweis!

Dann ist mir auch klar, wie es wohl gelaufen ist:

Durch die LAN-Party des Sohnemanns wurden alle Scheunentore des Rechners geöffnet und - wenn nicht schon dort - später durch die Internetverbindung der Schädling eingefangen.

Vielen Dank nochmal, jetzt weiss ich, was zu tun ist

Viele Grüße,
HG

 

Na klar geht das.
Beispiel OpaServ:

Der Wurm, den es in verschiedenen Varianten gibt, von denen mindestens eine UPX gepackt ist, scannt das Internet durch und ortet Computer, die unter den Betriebssystemen Windows 95/98/ME laufen und auf denen ein Zugang zum Laufwerk C besteht. Danach sucht er nach dem Passwort für das jeweilige System und lädt, wenn er dieses gefunden hat, eine Kopie von sich auf den Computer. Bei seiner Suche und beim Infiziervorgang verwendet Opasoft die Communication-Ports (Port 137 und 139), die von Windows zum Austausch von Informationen übers Internet verwendet werden. Und gerade die Tatsache, dass diese Ports aus Nachlässigkeit Hackern gegenüber offen sind, sowie der Umstand, dass viele User und System-Administratoren nicht genug achtsam beim Erteilen von Zugängen sind, ermöglichte die massive Verbreitung von Opasoft. Deswegen empfiehlt Kaspersky Labs folgendes Vorgehen, um ein Eindringen des Wurms zu verhindern:
Privatanwender sollten unbedingt überprüfen, ob auf ihrem PC ein File- und Print-Sharing-Tool aktiviert ist. Dafür brauchen Sie bloß mit der rechten Maustaste auf das Symbol "Netzwerkumgebung" zu klicken, dann auf "Eigenschaften" und dort auf "Zugang zu Dateien und Druckern". Das Fenster, das sich dabei öffnet, informiert Sie über den aktuellen Zustand des Tools und darüber, ob der Zugang zum System falsch installiert wurde; Sie können ihn dann richtig einstellen.
Quelle: http://www.malwareinfo.de (Archiv)

 

Hallo Steele,

die Desktop-Firewall hatte ich heute morgen schon installiert, da gab es diese Diskussion noch nicht Ich habe inzwischen gelernt, dass dieses Zeugs weitgehend nutzlos ist.

Ich habe natürlich noch nicht alles gelesen, was es in den Links zu lesen gab, bin aber dabei... Vielleicht könntest Du mir dennoch vorab einen Hinweis geben, ob auf dem von Dir beschriebenen Weg über das Internet ein Infektion unbemerkt erfolgen konnte. Soweit ich das verstanden habe, geht das. (Ich suche noch immer den Weg, wie der Virus ursprünglich auf den Rechner gelangt ist.)

Inzwischen habe ich auch aus den Links gelernt, dass das Entfernen alleine in vielen Fällen nicht ausreicht und daher der Virus immer wieder auftauchen kann. Dann brauche ich mich natürlich nicht zu wundern...

Ich werde den Rechner wohl ganz neu aufsetzen, um ganz sicher zu gehen und bei der Absicherung so vorgehen, wie es bei http://mpdshfaq******/ beschrieben ist. Der Link ist wirklich klasse - zugleich aber auch beunruhigend.

Viele Grüße,
HG

 

Desktopfirewalls wie ZA sind nicht geeignet, Viren-oder Wurminfektionen und deren Folgen zu verhindern.
Mir scheint, die Links waren nicht informativ genug oder wurden nur überflogen. In Sicherheitsfragen wird Halbherzigkeit auf dem Fuße bestraft. Nur merkt es der Bestrafte manchmal erst Monate später.

 

Hallo zusammen,

vielen Dank für Eure Antworten (und die informativen Links).

Ich werde Kapersky empfehlen, eine Firewall befindet sich seit heute früh auf dem Rechner (Zone-Alarm). AntiVir befindet sich nur deshalb auf dem Rechner, weil meine Nachbarin die Geldausgabe scheut, aber hier spart man an der falschen Stelle, da habe ich sie auch schon überzeugen können.

Der Rechner war ein einziges Mal an ein Netzwerk angeschlossen (LAN-Party) und vermutlich kann es dort auch zu der ersten Viren-Infektion gekommen sein. Seitdem ist der Rechner jedoch Stand Alone und trotzdem kommt die Infektion immer wieder.

Ich frage mich, ob der Virus auch über die (ohne Firewall bisher "ungeschützte") Internetverbindung auf dem Stelle beschriebenen Wege reingekommen sein kann. Mich irritiert einfach, dass er immer wieder scheinbar aus dem Nichts aufzutauchen scheint...

Vielleicht habt Ihr noch eine Idee, wie ich mir das erklären kann.

Viele Grüße,
HG

 

Wehret den Folgen!
Verzichte auf das "Firewall-Programm" und lies statt dessen lieber
http://mpdshfaq******/
http://www.kssysteme.de und
http://www.heisig-it.de/dienste.htm

 

Wehret den Anfängen!

Kauf als Antiviren-Programm Kaspersky und installier ein Firewall-Programm!

mfg

 

Siehe die Antwort von Steele.

Der Virenscanner meldet die Datei, wenn sie sich (über den Weg der Netzwerkfreibabe) bereits auf dem System befindet.

Wenn du gerne Geld zum Fenster hinauswerfen möchtest, dann kannst du selbstverständlich NAV kaufen.

 

OpaServ und manch andere Schädlinge verbreiten sich über ungeschützte Netzwerkfreigaben, die an das TCP/IP-Protokoll des DFÜ-Adapters gebunden sind. Diese Bindung ist zu entfernen.
AntiVir ist kein empfehlenswertes Schutzprogramm.