Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Verfolgung starten Optionen

Virus: "W32.HLLW.Torvel.B"

jueki / 4 Antworten / Baumansicht Nickles

Seit gestern sprich mein GMX- Virenschutz laufend an und teilt mir mit, das in einer -von mir verschickten- Mail dieser Virus enthalten ist:

Virus: "W32.HLLW.Torvel.B"
Datei: "flt-ixb23.exe"
Virus: "W32.HLLW.Torvel.B"
Datei: "flt-ixb23.exe/flt-ixb23.exe"

Dabei ist in den 9 bisher registrierten Fällen 2x wirklich meine Forum- Mailadresse als Absender vorhanden - die anderen sind mir vollkommen fremd. Ebenso bis auf eine die Empfängeradressen.
Diese Mails werden nicht gesendet, sondern auf dem Server in Quarantäne gestellt.
Ich habe mir nun einmal eine solche Mail auf meinem Test- PC - und dort auf den Virtuellen PC geholt. Das Virus befindet sich in einem Dateianhang, entweder als eine *.pif oder in den meisten Fällen als "spoollow.exe", 61kB.
Wenn ich meiner vorhandenen Sicherheitssoftware (unter anderem AntiVir, wird 4- stündlich upgedatet) und hijackthis trauen kann, ist mein PC frei von Schadprogrammen.
Was mich verwundert ist, das dies immer die Mailadresse betrifft, mit der ich in verschiedenen Foren registriert bin.
Wobei jedes dieser Foren sofort empört den Verdacht, ihre Datenbank wurde gescannt, von sich weisen und mir Zurückhaltung empfehlen würde.
Und noch eines: Diese meine Adresse, die da mal wieder betroffen ist, ist mal eben 3 Tage alt! Und nur in Foren "erhältlich".
Ich denke, die vielen Empfehlungen mit "brain1.0" sollten auch in den Foren umgesetzt werden, oder sehe ich das falsch?
Eure Meinung würde mich interessieren.
Jürgen

- Nichts ist schwerer und nichts erfordert mehr Charakter, als sich im offenem Gegensatz zu seiner Zeit zu befinden und laut zu sagen "NEIN!" Kurt Tucholsky
bei Antwort benachrichtigen
GarfTermy jueki „Virus: "W32.HLLW.Torvel.B"“
Optionen

"...Ich habe mir nun einmal eine solche Mail auf meinem Test- PC - und dort auf den Virtuellen PC geholt...."

und was geschah dann mit der mail?

"...Wenn ich meiner vorhandenen Sicherheitssoftware (unter anderem AntiVir, wird 4- stündlich upgedatet) und hijackthis trauen kann, ist mein PC frei von Schadprogrammen. ..."

leider kann man solcher software nie vertrauen. man könnte höchstens mit einem alternativen scanner das system nochmals prüfen.

aber...

da das virenproblem auf deiner seite ist, ist der sicherste weg... bereits bekannt.

wenn du mit vmware arbeitest ist es wichtig, das du den virtuellen rechner KEINERLEI verbindung zu deiner "welt" haben läßt und das du mit snapshots regelmäßig an den "sicherem punkt" zurückkehrst.

für halbwegs sicheren mailverkehr @home empfehle ich einen mailserver MIT virenschutz. ...janaserver zb kann das mit diversen externen virenscannern. so kannst du eine relativ hohe sicherheit erreichen, das dein mailsystem keine infizierten mails versendet.

safety first? format+neuinstall.

;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
jueki Nachtrag zu: „Virus: "W32.HLLW.Torvel.B"“
Optionen

>>...und was geschah dann mit der mail? Tja - ich hab sowohl die pif als auch die exe gestartet. Und nichts bemerkt!
Nur, als ich den Virtual- PC neu bootete, wurde alles in der kleinsten Auflösung (640x480?) und 4bit Farben dargestellt.
Ich weiß nicht, ob das alles war, so ein Fachfilou bin ich ja auch nicht.
Ich muß da keine Angst haben bei derlei Experimenten.
Erstens kenne ich die Option "Änderungen löschen und ausschalten" bei VMW - und zum anderen schiebe ich in meinen Test- PC da immer nur eine, eigens für Versuche angelegte Festplatte ein. (Wechselrahmen)
Sollte da etwas geschehen, dann ist es kein Problem für mich, diese Festplatte mit einem Löschtool (von Steganos) zu bearbeiten und sie anschließend mit Acronis wieder herzustellen.
Nun, mein (bezahlter) Provider GMX filtert mir (immer im Rahmen der Möglichkeiten) Viren und SPAM heraus, mein AntiVir Prof kontrolliert unabhängig davon ebenfalls dein ein/ausgehenden Mailverkehr. Und Mailanhänge kommen sowieso nicht durch.
Nein, viel interessanter ist für mich die Frage, wie es sein kann, das eben diese, nur in Foren verwendete Adresse dazu mißbraucht wird!
Da vermute ich ein erhebliches Sicherheitsleck.
Ach so - ich kenne die von Dir vertretene Meinung, ein "korrumpierter" PC sei zu formatieren und keine der Daten kann mehr als sicher angesehen werden. Und ich schätze sie als die einzig wahre Richtlinie ein.
Tja - und wenn manche Fachleute der der Meinung sind, dies sei überflüssig, eine Reparatur sollte genügen - nun, dann werden diese Fachleute ja auch eine qualifizierte Datensicherung gemacht haben!
Jürgen

- Nichts ist schwerer und nichts erfordert mehr Charakter, als sich im offenem Gegensatz zu seiner Zeit zu befinden und laut zu sagen "NEIN!" Kurt Tucholsky
bei Antwort benachrichtigen
GarfTermy jueki „ ...und was geschah dann mit der mail? Tja - ich hab sowohl die pif als auch die...“
Optionen

"...Tja - ich hab sowohl die pif als auch die exe gestartet..."

viren darf man nur testen, wenn die testumgebung vom restlichen netz getrennt ist. sonst ist die gefahr der verbreitung im eigenen netz hoch.

ist diese emailaddy in deinem mailsystem gespeichert? wie? wo? details!

;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
jueki Nachtrag zu: „Virus: "W32.HLLW.Torvel.B"“
Optionen

>>wenn die testumgebung vom restlichen netz getrennt ist Richtig. Deswegen verwende ich ja eine eigene Festplatte, die allein im PC steckt, also vollkommen isoliert ist.
Diese eine Mailadresse von mir ist selbstverständlich im System gespeichert, in OutlookExpress "Kontakte" und in "Konten".
Aber die anderen Adressen sind im System schlicht und einfach nicht vorhanden!
Hier mal nur 2 Meldungen (von 5) der Virenüberwachung von heut Nacht:
Zwei mit meiner Absender- Adresse:

in der folgenden von Ihnen verschickten e-mail wurde ein Virus gefunden!
Virus: "W32.HLLW.Torvel.B"
Datei: "Unknown00000428.data"
Virus: "W32.HLLW.Torvel.B"
Datei: "Unknown00000428.data/Unknown00000428.data"
Diese e-mail wurde deshalb nicht an den Empfänger weitergeleitet. Verwenden
Sie umgehend einen lokalen Virenscanner, um Ihren PC zu überprüfen!
Es folgen Details zu der betroffenen e-mail:
Von:
An:
Datum:
Betreff: Re: Returned mail--
Die betroffene e-mail ist im Ordner "Virusverdacht" als Kopie abgelegt.

und drei mit mir vollkommen unbekannten Adressen:

in der folgenden an Sie adressierten e-mail wurde ein Virus gefunden!
Virus: "W32.HLLW.Torvel.B"
Datei: "Unknown0000048A.data"
Virus: "W32.HLLW.Torvel.B"
Datei: "Unknown0000048A.data/Unknown0000048A.data"
Es folgen Details zu der betroffenen e-mail:
Von:
An:
Datum: Wed, 1 Jun 2005 01:55:49 +0200
Betreff: Hi, roger.kammer, Do not release, its the internal rls!
Die betroffene e-mail ist im Ordner "Virusverdacht" als Kopie abgelegt.

In ca. 50% dieser Mails tritt der Name "rolwei" auf. Dies ist ein mir bekannter User aus einem anderen Forum, zu dem ich allerdings nie Kontakt hatte. Diesen habe ich übrigens informiert.
Was mir allerdings vollkommen schleierhaft ist - wie kann da stehen
"in der von Ihnen versandten Mail... wo doch die aufgeführte "von" Adresse bei mir nirgends vorhanden ist!
Ich glaube mal, meine (meinen Kenntnissen angepaßten) Sicherheitseinstellungen funktionieren - und ich werde kaum etwas gegen derlei Ungemach unternehmen können.
Das eine Änderung der Foren- Adresse nichts bringt, zeigt ja, das schon 3 Tage nach dem Wechsel der Adresse und der Löschung der "alten" schon wieder solche Mails auftauchen.
Jürgen

- Nichts ist schwerer und nichts erfordert mehr Charakter, als sich im offenem Gegensatz zu seiner Zeit zu befinden und laut zu sagen "NEIN!" Kurt Tucholsky
bei Antwort benachrichtigen