Übrigens noch, ist mir aufgefallen, dass bevor ich ins Internet einsteige, ist der prozess Winlogon dauernd sehr aktiv, um die 70% CPU.
Beiträge von mik14
-
-
Leider kann ich die dir datei nicht schicken, weil ich sie bereits gelöscht habe und selbst restoren lässt sie sich nicht mehr.
Kann der sache nicht soviel zeit widmen, wie ich gern möchte, habe aber trotzdem ein paar interssante feststellungen machen können. Die wichtigste dürfte sein, dass dies allem nach keinen direkten zusammenhang mit dem autosurfer hat. Die viren kommen einfach wenn ich irgendeine site im Net eröffne, manchmal sofort, manchmal erst nach längerer zeit. Der autosurfer wurde offensichtlich nicht durch virus jeweils gestoppt, sondern dass sein server regelmässig um dieser zeit nicht reibungslos laufen will. Ein virus kam selbst als ich xp-tipps-tricks angesteuert habe. Heute habe ich einen ganz fiesen virus gekriegt, die datei heisst rdriv.exe und ist auch ein trojaner, diesmal Generic.GM. Als ich ihn gefunden habe, hat er die zeitangebe gehabt, als so ca. der rechner vom timer abgestellt wurde. Er wird problemlos erkannt, aber kann weder geheilt, noch gelöscht werden. Das löschen wird z.t. verweigert, z.t. wird gelöscht, aber bildet sich grad wieder neu, auch off-line; ich würde sagen, jeweils mit derselben zeit, doch jetzt habe ich das wieder angeschaut und die zeit war etwa die akutuelle. In den registern habe ich 2 arten einträge mit ihm gefunden, in dem 2. wird sein pfad bestimmt und hat einen verweis zum 1., der 2. lässt sich löschen (bringt nichts), der 1. verweigert gelöscht zu werden. Der virus ist von keinem klar sichtbaren offenen prozess begleitet.
Und jetzt grad habe ich gestaunt, plötzlich meldet mir AVG als virus die datei SysClock16.exe, die ich schon seit 5 tagen drin habe. Sie war mir wegen ihrem neuen datum bereits aufgefallen, wegen ihrem namen habe ich aber gemeint, ihr neues datum hat was mit einer anpassung der systemuhr zu tun (modem-logfile im gleichen verzeichnis wird auch dauernd erneuert).
Beide diese dateien wollte ich versuchen dir zu schicken, doch WinZip meldet einen lesefehler, wenn ich vresuche sie einzupacken. So frage ich mich, ob ich die BHSV-datei einpacken könnte, hätte ich sie noch (das SysClock16 konte ich wenigstens umbenennen und vershieben, das rdriv nicht).
Da kommt mir noch eins in den sinn, von dem ich aber fast nur bahnhof verstehe und das sind die ports. Ich weiss, dass sie ihre nummern haben, es gibt ein offenes port, über alles normale läuft und das auch z.t. vom provider überwacht wird, dann gibt es "anständige" anwendungen, die über andere ports laufen, welche dazu extra geöffnet werden müssen und weiter für den normalen user verbotene ports. Auch weiss ich, dass diverse schädlinge in der lage sind ungenügend geschützte ports zu öffnen, über sie aktiv zu werden und so diverse sicherheitmassnahmen umzugehen (bitte korrigeier mich, falls etwas falsch ist). Ich habe aber keine ahnung, wie ich überprüfen kann, ob hier alles in ordnung ist.
-
Zitat von hyrican
Ich sehe eine dritte Möglichkeit - das die Signaturen von AVG so schlecht sind das sie anhand eines Namens gemacht werden.
Das dünkt mir weniger wahrscheinlich. Wieso würde ihn dann AVG unter seinem originalnamen nicht erkennen und unter meinem phantasienamen dann doch? Und immerhin reihen diverse tests AVG unter die elite der besten antivirenprogramme der welt ein.
Meine sicherheitsstrategie - was ich dazu noch sagen könnte? Das wichtigste habe ich geschrieben, wie ich nach dem formatieren vorgegangen war. Das ganze ist eine ziemlich komplexe sache, entspricht den allgemeinen empfehlungen.
Hab ein eigenes system für passwärter, ein kompromis zwischen 100% sicherheit (die es ohnehin nicht gibt) und möglichkeit das ganze einigermassen übersichtlich zu managen, setzte die passwärter je nach dem ein, wie risikoreich jeweils ist, was ich betrete.
Benütze weder Office noch Outlook oder einen enderen e-mail-klienten, grundsätzlich nur webmail bei zuverlässigen portalen, spams erkenne ich auf den ersten blick problemlos (sofern sie nicht schon vom portaleigenen spamfilter eliminiert worden sind) und öffne sie grundsätzlich nicht.
Erzähle keine details über mein konzept, was sein knacken erleichtern könnte, selbst dem besten freund gebe ich höchstens allgemeine sicherheitstips, persönliche, bei mir bewährte spezifika überlasse ich ihm, ob er sie für sich vlt. auch so herausfindet oder das anders macht.
Arbeite allein auf meinem rechner, resp. DSL-anschluss, habe kein netzwerk.
Eine firewall habe ich nicht, weil ich schon vor langem und sehr bald nach meinem ersten versuch damit zu derselben feststellung gekommen war wie du es sagst, wenn man nicht ein wirklich versierter fachmann ist, bringt sie eher mehr schaden als nutzen. Ausserdem kann ich mir auch nicht gut vorstellen, wie ich damit einen einzelnen rechner, ohne netzwerk, mit enem einzigen benutzer, wo es keine userhierarchie gibt, noch zusätzlich schützen könnte. Alles machbare sollten in einem solchen fall meiner meinung nach die richtigen sicherheitseinstellungen des systems für Internet erledigen (und selbstverständlich systemupdates) + ein guter antivirus.
Deine allgemeinen tips (pkt. 7) sind für mich selbstverständlich, tauschbörsen besuche ich nicht.Und wie gesagt diese maschine ist mein 2. rechner, den ich seit der installation nur wenig gebraucht habe und wenn, dann nur aus diesen gründen: Beim 1. rechner habe ich nen 15" TFT monitor, bei diesem 17" CRT, also wenn ich unbedingt die auflösung 1280x1024 brauche, was aber normalerweise nur off-line anwendungen sind. Der 2. grund: der 1. rechner steht neben meinem bett, so dass ich nicht schlafen kann, wenn er läuft. Darum habe ich jetzt diesen im anderen raum benützt, als ich eine anwendung hatte, die theoretisch keine aufsicht benötigt und ca. 2 bis 3 stunden braucht, bis sie fertig ist. Es ist eine anwendung, die nicht ganz frei von möglichkeit ist, dass angriffsversuche von viren stattfinden würden, aber da verlasse ih mich eben auf das uptodate gehaltene AVG. Bei meinem ersten rechner, wo ich das normalerweise und unter aufsicht laufen lasse, registriere ich solche angriffsversuche nur sehr selten, dass AVG alarm schlägt, und auch im diskussionsforum über diese applikation sind einschlägige beschwergen eine wirkliche seltenheit.
Ich frage mich nur, was macht AVG, wenns ein virus-alarm ausgibt, wo man ihm das weitere vorgehen mitteilen soll und keine reaktion kommt, wobei eine der optionen das ignorieren ist? Es wäre ganz schlimm, falls er automatisch diese option wählt; eine solche dummheit kann ich mir aber bei einem qualitativ so hochstehenden produkt nicht gut vorstellen.
Und sollte ich tatsächlich neu formatieren, dann macht es nur sinn, wenn ich weiss, wie ich zu diesem jetzt gekommen war, denn sonst ist die gefahr gross, dass ich bald danach gleich weit bin, wie jetzt und die ganze arbeit war für die katze. Ich hatte nämlich schon früher auf diesem rechner ein ähnliches problem, als ich mir noch mit einer anderen HD W98 installiert habe. Ich bin ungeschützt ins netz gegangen, nur um mir das AVG zu holen und prompt habe ich mir einen virus geschnappt, dank dem ich mehr als 12 stunden gabraucht habe, um das AVG runterzuladen. Dabei weiss ich, dass es viele leute gibt, die die ansicht vertreten, wenn ich vorsichtig bin und keine porno- und ähnliche seiten besuche, nur bekannte e-mails öffne, brauche ich gar kein antivirus und tatsächlich allen, die ich kenne und dies sagen, geht diese rechnung mehr oder weniger auf, sonst hätten sie sich schon längst eins besorgt; wenigstens macht sich bei ihnen kein unerklärter hintergrundbetrieb bemerkbar. Findest du als denkbar, dass bei mir die wurzel des übels im BIOS sitzen könnte? Ich weiss nur, dass es BIOS-viren gibt, aber keine ahnung, ob sie sich auf solche art bemerkbar machen. (Den rechner habe ich geschenkt bekommen, sein lebenslauf vorher liegt für mich voll im dunklen.)
Zitat von EnemyDesweiteren muss es ja wohl was bösartiges sein, da waren ja vorhin noch Zweifel, denn ich denke, keine "normale" Datei lässt sich unter "Suchen" nicht finden.
Eben, musste den ersten absatz in meinem beitrag vom 06.11.2005, 15:57 Uhr lesen, dann weiste, wer das ist.
Und wenn du die anzeige der systemdateien auf sichtbar setzt (unter W98 ist es Explorer-> Extras-> Ordneroptionen-> Ansicht-> Versteckte dateien-> Alle dateien anzeigen setzen) und dann findest du unter WINNT/Sys32 (W2K, weiss nicht obs im XP genau so heisst, aber sicher ähnlich) die datei BHSV.exe.
-
Naja, eigene beitrage editieren kann man in diesem forum nicht, so muss ich einen neuen post machen :?
Zu meinem vorletzten beitrag noch: Am anderen PC handhabe ich die sicherheit genau gleich, der einzige unterschied ist, läuft unter W98, und dort funzt alles tadellos.
-
Zitat von hyrican
Mir ist kein Fall bekannt das sich Systemdateien grundlos und beliebig aus dem Internet nachladen.
Schon klar. Nur wenn sich ein virus ins system einbindet, weiss ich nicht, welche alle funktionen er dort übernimmt, und somit sich unentbehrlich macht. (Diesmal hat sich zwar gezeigt, dass es nicht der fall war, nur um meinen gedankenprozess zu erklären.)
-
Es ist ganz seltsam. Ich habe das mit dem umbenennen nicht ganz absichtlich gemacht (umbenannt und dann habe ich das vergessen und abgestellt) und anscheinend hat das nicht geschadet. Doch als ich wieder einen AVG-scan gemacht habe, wurde die umbenannte datei eindeutig als Trojan Horse IRC/BackDoor SdBot.OBD identifiziert. Sehe also 2 möglichkeiten: Entweder war er im letzten AVG-update, das ich heute vormitag gemacht habe, drin (finde eher weniger wahrscheinlich) oder aber versteht er sich unter seinem ursprünglichen namen vor einem antivirus-scanner zu tarnen. (N.b.: Ebenfalls habe ich alle einträge mit BHSV aus den registern gelöscht.)
Zusätzlich sind aber andere dinge passiert. Ich habe gleich wie gestern den autosurfer laufen lassen, hat nach ungefähr der gleichen zeit gestoppt und das NeroFilterCheck.EXE war wieder drin. Wieder von AVG problemlos erkannt und "gheilt" - diese datei gelöscht, was er aber sonst unter dieser heilung versteht, ist mir schleierhaft, weil ganz neben daran im verzeichnis ist die datei nerofil.exe mit genau der gleichen zeitangabe, an der findet AVG aber nichts schlimmes und auch von hand kann daran nichts verändert werden, weil si vom system beansprucht wird. Weiter habe ich in den registern etwas vom nero40.exe gefunden und auch wieder das stichwort firewall (soviel ich weiss, W2K hat keine eigene und ich habe nie eine installiert, nur eben gestern war der virus mit FireWall-Update1.exe da. So weiss ich nicht, was ich da alles ruhig elliminieren darf, sofern das überhaupt geht und was bringt).
Bezüglich neuformatierung habe ich grosse bedenken, weil ich das vor nicht allzulanger zeit gemacht habe und vom anfang an habe ich auf die sicherheit penibel geachtet - alle sicherheitseinstellungen von hand so restriktiv, dass man nur noch arbeiten kann, gesetzt, cookies individuell nur nach meiner weissen liste erlaubt, AVG mit letztem update am anderen sauberen PC auf CD gebrannt und off-line installiert, erst dann habe ich mich ins netz gewagt (AVG-resident shield selbstverständlich aktiviert), um als das erste alle Windows-updates runterzuladen und installieren. So ist mir völlig rätselhaft, wie die dinge in den rechner überhaupt gelangt sind.
-
In der vergangenen nacht habe ich auf meinem 2. PC (W2K-Prof) einen autosurfer unbeaufsichtigt laufen lassen, und vermutlich ein virus hat ihn vorzeitig gestoppt.
Hab dann den rechner mit dem frisch aktualisierten AVG getestet, hat Trojan Horse IRC/BackDoor SdBot.MYS C:\WINNT\System32\FireWall-Update1.exe gefunden und beseitigt (hab keine FW, auch kein netzwerk). Der rechner lief aber weiterhin lahm, dazu bekam ich ständig irgendwelche MSN-meldungen über fehlerhafte registry und dass ich mir irgendwo ne SW zum reparieren runterladen und installieren soll (Regclean hat keinen fehler gefunden). Also nochmals getestet, während dessen Notepad geöffnet und da kam AVG-alarm "Virus Detected - While opening file C:\WINNT\System32\NeroFilterCheck.EXE" - erfolgreich geheilt und kurz darauf fand der test Trojan Horse IRC/BackDoor SdBot.MYS C:\WINNT\System32\Syshost.exe. Doch der rechner lief immer noch wie auf der flucht im bösen traum, so updatete ich mir noch das Ad-Aware und machte auch diesen scan (off-line, telefonkabel ausgezogen) - fand ein paar Alexa-Dataminer in den registern und einige MRU-listen, also nichts gravierendes, trotzdem hatte ich das gelöscht, was freilich ziemlich erwartungsgemäss nicht zum erfolg führte. Danach sicherheitseinstellungen überprüft - war O.K., zumindest gleich wie beim anderen rechner (W98), wo ich ca. 12 std./tag im netz bin und keine solchen probs, dann noch das allerletzte AVG-update geholt, AVG-test anstatt "scan all infectable files" auf "scan all files" und den kompletten test gemacht (immer noch off-line), diesmal wurde er sauber gemeldet.
Doch schneller ist er nicht geworden, der schon zuvor als die bremse identifizierte prozess BHSV.EXE war immer noch da (inzwischen habe ich immer wieder rebootet, wurde ihn dadurch aber nicht los). Es steht bei ihm der CPU-wert zwischen 80 und 90, die CPU selbst läuft auf 100%. Der BHSV bleibt bei diesem wert immer kaum länger als 5 s, dann geht er auf 0, aber gleichzeitig öffnet er sich mitm anderen PID-wert (was ist das eigentlich?) mit seinen 80 bis 90%, manchmal teilen sich diese 2 auch den CPU-wert und es sind nie mehr als 2 offen. Seine priorität ist auf "normal" gesetzt.
Google: "BHSV" findet hunderte von solchen abkürzungen aller denkbaren bedeutungen, unter den ersten 10 ist aber ausser dem Bigfoot nichts annähernd relevantes, und mit dem kann ich im diesem zusammenhang nichts anfangen. "BHSV.exe" führt einzig auf umwegen zu diesem thread.
Die datei selbst habe ich problemlos in C:\WINNT\System32\ gefunden, ihr datum/zeit entspricht fast genau dem moment, als der erwähnte autosurfer stehen geblieben sein muss. Der tip "umbenennen, neu starten und falls keine probs löschen" ist einleuchtend, das einzige problem ist, dass die datei als system-datei bezeichnet ist, ergo theoretisch könnten die folgen einer umbenennung unberechenbar sein, also dass man beim start u.u. gar nicht soweit kommt, um sie zurück umzubenennen. Falls das jemand schon probiert hat, würden sich wahrscheinlich alle betroffenen über das resultat des versuchs freuen. Das stoppen des prozesses ist wegen seinem doppelten auftreten erschwert - man muss ziemlich schnell sein - aber hilft für den moment.
Ich fürchte, dass es sich hier um einen neuen trojaner handelt, der aus irgendeinem grund von den schädlingsbekämpfungs-SW-herstellern noch nicht wahrgenommen wurde. Wieso aber, da kann man nur darüber spekulieren, ob er vlt. eine ganz neue technologie benützt?