Hallo liebe User!
Vor einiger Zeit habe ich genau dieses Posting schonmal abgesetzt, es gab damals irgendwie ein Datenbankproblem, daher: Neues Glück.
Es klingt jetzt etwas doof, aber ich würde euch bitten, wenn ihr mir helfen wollt, genau zu lesen, da viele Details drinnen stecken und man sonst schnell voreilig den Schluss ziehen kann, dass das System, von dem ich spreche, in jedem Fall kompromitiert war.
Dann wollen wir mal:
Es ist nun mittlerweile 2-3 Wochen her, da hat sich folgendes ereignet:
Ich besitze die Original CD Version des alten Spieles Need for Speed 4 Brennender Asphalt. Das Game läuft offiziell nur unter Windows 9X und nicht unter Windows 2000,
was ich besitze. Es gab vor langer Zeit, etwa 6 Jahren, als das Game noch aktuell war, einen Workaround, wie man es dennoch unter Windows 2K zum laufen bringen konnte.
Der Tipp lässt sich im übrigen auch im Archiv von Nickles wiederfinden! Mittlerweile existiert der Tipp nicht mehr auf der Seite, von der er offiziell stammt, nfs2000 ist mittlerweile dicht und widmet sich nicht mehr Need for Speed. Damals also wars ein beliebter Trick, es zum Laufen zu kriegen, indem man einen sogenannten NO-CD Patch installierte, der dazu führte, dass (trotzdem man in Besitz einer OriginalCD war) die CD nicht geprüft wurde, so dass man unter Windows 2000 auch spielen konnte, indem man alles auf die Festplatte kopierte - soviel dazu.
Nungut, diese Datei gibts also schon seit besagten 6 Jahren oder sogar länger im Netz, wurde immer gern verwendet, um eben Need for Speed zum Laufen zu kriegen.
An einem Urlaubstag hats mich überkommen und ich wollte unbedingt mal wieder das angestaubte Game spielen. Da die CD, auf die ich vor 6 Jahre den Patch gebrannt habe, defekt war, nicht mehr lesbar, da ein billiger Rohling, lud ich die besagte NoCD Patch Datei aus dem Netz.
Hier ist nun die besagte Datei, ich habe sie mal so geschrieben, dass sie nicht aktiv wird. Es handelt sich um die Datei, die man braucht, um Need For Speed zum Laufen zu kriegen.
h**p://anca.lenoble.chez-alice.fr/Telechargement/win2k_comp2001.zip
Gibts auch noch anderweitig im Netz.
Nun habe ich Need For Speed installiert, lief wunderbar. Mein lokal installiertes Antivir meckerte nicht. Leider bin ich später dann auf die Idee gekommen, das Ding mal online prüfen zu lassen. Es kam folgendes Ergebnis:
Datei: win2k_comp2001.zip
Auslastung: 0% 100%
Status: VIELLEICHT INFIZIERT/MALWARE
Entdeckte Packprogramme: -
Bit9 rapportiert: File not found
A-Squared Keine Viren gefunden
AntiVir HEUR/Malware gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
CPsecure Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
F-Secure Anti-Virus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
Panda Antivirus Keine Viren gefunden
Rising Antivirus Keine Viren gefunden
Sophos Antivirus Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Keine Viren gefunden
----------------
Virustotal.com Ergebnis
AhnLab-V3 2007.8.25.0 2007.08.24 -
AntiVir 7.4.1.63 2007.08.25 HEUR/Malware
Authentium 4.93.8 2007.08.25 -
Avast 4.7.1029.0 2007.08.25 -
AVG 7.5.0.484 2007.08.25 -
BitDefender 7.2 2007.08.26 -
CAT-QuickHeal 9.00 2007.08.25 -
ClamAV 0.91 2007.08.26 -
DrWeb 4.33 2007.08.26 -
eSafe 7.0.15.0 2007.08.23 Suspicious Archive Structure
eTrust-Vet 31.1.5085 2007.08.24 -
Ewido 4.0 2007.08.25 -
FileAdvisor 1 2007.08.26 -
Fortinet 2.91.0.0 2007.08.26 -
F-Prot 4.3.2.48 2007.08.25 -
F-Secure 6.70.13030.0 2007.08.24 -
Ikarus T3.1.1.12 2007.08.26 -
Kaspersky 4.0.2.24 2007.08.26 -
McAfee 5105 2007.08.24 -
Microsoft 1.2803 2007.08.26 -
NOD32v2 2484 2007.08.25 -
Norman 5.80.02 2007.08.24 -
Panda 9.0.0.4 2007.08.26 -
Prevx1 V2 2007.08.26 -
Rising 19.37.62.00 2007.08.26 -
Sophos 4.21.0 2007.08.25 -
Sunbelt 2.2.907.0 2007.08.25 -
Symantec 10 2007.08.26 -
TheHacker 6.1.9.173 2007.08.26 -
VBA32 3.12.2.3 2007.08.26 -
VirusBuster 4.3.26:9 2007.08.25 -
Webwasher-Gateway 6.0.1 2007.08.26 Heuristic.Malware
So, ich war natürlich geschockt. Warum? Weil erst am Abend ein Backup angesagt war (mache täglich Backups wichtiger veränderter Dateien). Das System verhielt sich keineswegs "komisch" oder dergleichen, die gleiche No CD Patch Datei hatte ich ja auch schon vor 6 Jahren installiert, um bereits damals unter Win2000 Need for Speed spielen zu können.
Aber ich war trotzdem verunsichert. Was tun? Hmm, also gleich mal die Datei runtergeschmissen.
Ich habe die Datei zuvor an Antivir gesendet, um sie prüfen zu lassen. Antivir bestätigte mit folgender Message:
Dateiname Größe (Byte) Ergebnis
win2k_comp2001.zip 274.24 KB OK
Eine Auflistung der Dateien und Ergebnisse, die in Archiven enthalten waren, sind im folgenden aufgeführt:
Dateiname Größe (Byte) Ergebnis
3dsetup.ini 316 Byte CLEAN
3DSetup.exe 300 KB CLEAN
3dsetup.ini 331 Byte CLEAN
3ddata.dat 574 Byte CLEAN
3DSetup.exe 300 KB CLEAN
readme.txt 5.7 KB CLEAN
NFS444_NoCD.exe 8 KB FALSE POSITIVE
3d_fix.reg 726 Byte CLEAN
Dateiname Ergebnis
NFS444_NoCD.exe FALSE POSITIVE
Die Datei 'NFS444_NoCD.exe' wurde als 'FALSE POSITIVE' eingestuft. Dies bedeutet, dass diese Datei nicht gefährlich und eine Fehlmeldung unsererseits ist. Das Erkennungsmuster wird nicht entfernt werden da es sich um eine nicht reguläre Software handelt welche für die Umgehung von Schutzmechanismen in Computerprogrammen verwendet wird. Sollte ein virulenter Inhalt bzw. böswillige Eigenschaften festgestellt werden, wird diese Datei in die Erkennung in einer der nächsten VDF Update aufgenommen. Sollte bereits eine Erkennung seitens AntiVir vorliegen, wird diese nicht geändert oder angepasst.
Es fing schon damit an, dass ich die Message von Antivir nicht wirklich verstehe. Soweit ich verstehe, handelt es sich also nicht um einen Virus, aber Antivir stuft das Ding halt als Crack ein, was in gewisser Weise auch ok ist, da tatsächlich die ständigen Zugriffe auf CD verhindert werden, man kann die CD auf die HDD kopieren und so spielen. Das hat ja wie gesagt, den Sinn, dass man auch unter Win2000 spielen kann, wieso auch immer, nur so funktionierte der Workaround.
So und nun zum wichtigen, das obige war die Vorgeschichte
Ich habe, nachdem ich NFS4 deinstalliert und die obige besagte Datei gelöscht hatte, mit meiner externen Wechselfestplatte (mit einem VIPower Wechselrahmen verbunden), die ich nur zum Backuppen habe, also nicht laufend im System, sondern die liegt in einem Regal - diese eingelegt und wichtige .JPEG und .AVI Dateien, sowie .DOC Dateien gesichert, die noch auf meiner Partition D:\ Daten lagen und ich erst am Tag erstellt hatte und zwingend brauchte. Auf der Wechselfestplatte lag auch mein sauberes Image von Acronis True Image, allerdings in einem anderen Ordner auf einer anderen Partition meiner großen Wechselfestplatte. Die Image Datei ist für Windows unbekannt, da Acronis nicht installiert war, das brauche ich fürs Wiederherstellen meines Images nicht, ich verwende dazu nämlich die Boot CD von Acronis, die ich einlege und die unter einer eigenständigen Oberfläche zulässt, das Image aufzuspielen. Also die Datei war unbekannt im Format für Windows 2000.
Soderle, dieses war dann das, was mir Kopfschmerzen bereitet. Und zwar habe ich dann anschließend erstmal die Platte platt gemacht und mein sauberes Image aufgespielt, was auch wieder tadellos lief. Die gesicherten Daten hab ich zurückgespielt. Also - nehmen wir an das System war tatsächlich kompromitiert, so habe ich also jetzt mal weitergesponnen von einem verseuchten System meine Bilder und Videos, sowie DOC Daten gesichert und nach dem Aufspielen des frischen Images wieder auf meine Datenplatte, die ich natürlich zuvor auch platt gemacht hatte, aufgespielt. Hmm, da ich dann sehr sehr unsicher war, habe ich die Daten Stichprobehalber, also JPEG und AVI sowie DOC mal Stichprobehalber online hochgeschickt und sie waren (natürlich) alle clean, eigentlich hab ich auch nichts anderes erwartet, dass der eventuelle Virus dieser No CD Patch Datei meine Bilddaten zerstört oder verseucht (letzteres wäre schlimmer).
Nunja, ich habe mein System nun mal mit Kaspersky durchscannen lassen (der Testversion von deren Hompeage) und anschließend, nachdem ich Kaspersky wieder deinstalliert hatte, hab ich hijackthis mal drüberlaufen lassen und Antivir mit hoher Heuristik. Nix gefunden - alle nicht.
Ich hab irgendwie ein Unwohlsein - und ich hoffe um euer Verständnis.
Ich bin da etwas allergisch, weil ich empfindlich bin, was Sicherheit und Co angeht. Bin ich paranoid, bin ich zu vorsichtig, bin ich zu misstrauisch oder was haltet ihr nun vom Vorfall? Kann ich beruhigt meine alten (vom im Extremfalle nicht erkannten, aber kompromitierten) System gesicherten Daten weiterverwenden .....
pasckal
