Allgemeines 22.007 Themen, 148.997 Beiträge

Virusproblem: evtl. neue Sober-Variante - wer weiß Rat?

jabath / 4 Antworten / Baumansicht Nickles

Hallo,
ich habe auf einem Rechner unseres Heimnetzwerks (3 PC's) ein Virusproblem und könnte einen guten Tip gebrauchen. Ich werde die Ereignisse in Kurzform zusammenfassen:
Vor zwei Tagen machte der PC meinen Freundin Probleme (W2k SP4, MS-Sicherheitsupdates ca. 3 Monate alt, Sygate personal firewall, AntiVir Version 6 ca. 4 Wochen alt). Im Leerlaufbetrieb schwankte die Systemlast immer von 0-70%.

Als erstes stellte ich mit Schrecken fest wie alt die Vierendeff. ist. Habe ein Update auf die Version 7 gemacht und komplett durchlaufen lassen. Es wurden 2 Dateien/Viren entfernt - "Sober.I". Dannach habe ich das Removal-Tool von Norton runter geladen und auch noch mal drüber laufen lassen. 4 weitere Dateien/Registryeinträge wurden entfernt. Dannach leif der Rechner wieder einwandfrei -> für 1,5 Tage.

Gestern Abend wieder genau die gleichen Symptome. Wie das im Taskmanager aussieht, kann man hier sehen:
http://home.arcor.de/kretke/task.jpg
Ich habe mich etwas geärgert, dass ich vergessen hatte die MS-Sicherheitsupdates nach dieser Aktion zu aktualisieren (habe z.Z. viel Streß), habe mir aber keine großen Sorgen gemacht.
Ich ließ das Sober-Removal-Tool von Norton noch einmal drüber laufen und wurde überrascht: Keine Funde!

Inzwischen habe ich alle Versäumnisse der letzten Zeit nachgeholt:
- Windows-Update
- Installation von Spybot
- Installation von Bitdefender

Auch AntiVir hat nach einer Aktualisierung nichts auf dem Rechner gefunden.
Was kann ich noch tun?
Ich bin mit meinem PC (WinXP) im selben Netzwerk und habe die Probleme nicht. Ein weiteren PC (W2k) auch nicht. Das einzige was meine Freundin an ihrem System vor zwei Tagen geändert hat. Ist die Installation der neusten Finanzamts-Software "ELSTER". Diese Software hat mich in den letzten zwei Jahren immer durch Stabilität und usability überrascht, deshalb kann ich mir kaum vorstellen, das mit der Installation eine Sicherheitslüche entstanden ist.
Trotzdem habe ich auf der Elster-Homepage nach Updates oder bekannten Fehlern gesucht - nix.

An eine neue Sober-Variante mag ich auch nicht richtig glauben, weil eine neue Variante die aber die selben Symptome auslößt, doch sicher von AntiVir erkannt werden würde.

Bin jetzt echt etwas ratlos.
Es wäre schön wenn es neben der (berechtigten) Kritik am Updateverhalten im unserem Netzwerk auch einen Lösungstip gäbe.
Danke
JABATH

bei Antwort benachrichtigen
Die blaue Elise jabath „Virusproblem: evtl. neue Sober-Variante - wer weiß Rat?“
Optionen

Sober ist doch ein Wurm - der bekanntlich übers Netz kam. Was mich wundert - wenn du eine RICHTIG eingestellte Firewall hast, sollte der auch auf einem ungepatchten System nicht durchkommen. Es sei denn du hast ihn per Mail geladen oder gedownloaded

--------Viele Grüsse Elise
bei Antwort benachrichtigen
jabath Die blaue Elise „Sober ist doch ein Wurm - der bekanntlich übers Netz kam. Was mich wundert -...“
Optionen

Ja genau - und deshalb bin ich auch etwas ratlos.
Meine Freundin arbeitet schon seit Jahren mit dem PC und kann nun wirklich nicht als DAU bezeichnet werden. Sie würde bestimmt auch nicht irgendwelchen Mails (oder gar deren Anhänge) anklicken, wenn sie den Absender nicht kennt.

JABATH

bei Antwort benachrichtigen
Mario32 jabath „Virusproblem: evtl. neue Sober-Variante - wer weiß Rat?“
Optionen

Du schreibst selbst das das system definitiv infiziert war!

Nach einer Infektion kannst du aber keinerlei Verlass mehr auf angaben von "Säuberungsprogrammen" legen die auf dieser kompromittierten Maschine laufen.

Die Angaben das alles Clean ist und nix mehr gefunden wurde können von Schadprogrammen die auf dem Rechner laufen manipuliert sein.
Wenn das system erstmal infiziert ist. kannst du es mit "Säuberungsprogrammen" NICHT wieder in eienn definiert vertrauenswürdigen zustand zurückversetzten, wenn du nciht in der Lage bist SÄMTLICHE Dateien die sich auf dem System befinden mit nicht kontaminierten Prüfsummen von vor dem Befall auf ihre Originalität hin zu überprüfen.

Was kann ich noch tun?
Um sicherzu gehen das der Rechner wirklich clean ist und wieder euch gehört IST ES ohne Prüfsummenvergleichsmöglichkeit ZWINGEND ERFORDERLICH das System von 0 neu aufzusetzen und nicht nur mit Reparaturtools dran rumzufummeln.
Siehe MS Law (klick mich!) 1 und 2.

bei Antwort benachrichtigen
jabath Mario32 „Du schreibst selbst das das system definitiv infiziert war! Nach einer Infektion...“
Optionen

Da hast Du natürlich recht. Verwunderlich war nur, das der PC fast zwei Tage lang wieder problemlos lief.
Wie dem auch sei, es läuft wohl auf eine Neuinstallation hinaus. Da das wohl an mir hängen bleibt, wollte ich wenigstens fragen, ob nicht noch jemand eine Superidee hat, mir der ich mir Arbeit sparen kann.
Trotzdem, vielen Dank.

JABATH

bei Antwort benachrichtigen