Hallo,
ich hatte gestern ein ganz fieses Erlebnis. Beim Installieren von Discsafe Outlook Edition 1.0 von der ComputerBildCD 11/2003 unter W98SE (fremder Rechner) erhielt ich eine Abbruchmeldung wegen fehlender Online-Verbindung. Mit bestehender DSL-Verbindung erfolgte dann die Installation mit der Meldung "Neu Starten". Nach dem Neustart war Discsafe weder auf dem Desktop noch unter Start/Programme eingetragen. Beim Öffnen von C:\Programme meldete sich sofort AVGuard (Antivir, ca. 1/2 (?) Jahr alt) mit einer Virusmeldung. Also "L" für Löschen gedrückt, doch die Warnung blieb. "L" "L" "L" "L"... bis mir auffiel, dass jede neue Warnung einen anderen Virus betraf. Nach über 20 Virenlöschungen fand ich im Programmordner noch mehrere 3 KB große *.exe Dateien, alle mit Datum und Uhrzeit der Online-unterstützen Installation.
Was ist denn das für ein Virus, der eine Installation für eine Onlineverbindung ausnutzt, um zig weitere Viren aus dem Netz zu laden? (Discsafe ist wohl i.O., anschließend auf W2K-PC getestet.)
Ritchie

Was wurde denn genau für ein Virus gemeldet?

Möglichkeiten:
1) CB-CD mit Viren -> ist aber unwahrscheinlich
2) Fehlalarm -> nicht ganz so unwahrscheinlich, v.a. da ältere Version von Antivir. Die gefundenen 3kb-Dateien sprechen aber eher dagegen
3) Offene Freigaben auf dem Rechner. Dann liegts nicht an der Installation, sondern an der Konfiguration des Netzwerks. Virus evtl. Opasoft?
-> Ports 137-139 schließen
-> Opasoft-Info (etwas scrollen!)

Vielleicht hilft das ja schon weiter?

Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie

Aktualisier mal deinen AVPE, dann scann nochmal...

Björn

Hallo zusammen,

besten Dank für die prompten Antworten.
Mein Eindruck ist, dass hier ein heimtückischer Virus o.ä. vorliegt, der an einem frisch hochgefahrenem PC einen Installationsvorgang erkennt, diesen abbricht und nach einer Onlineverbindung verlangt (dem man normalerweise auch gutwillig nachkommt). Mit der Onlineverbindung täuscht der Virus einen Installationsvorgang vor, läd aber stattdessen zig (bekannte) Viren in den Ordner c:\Programme. Die geladenen Viren habe ich nicht notiert (ist ja alles von AV erkannter Standard), diese Viren sind auch nicht das Problem, sondern das o.b. Teufelchen.
AV wollte ich jetzt nicht erneuern, da hierzu die alte Version abgeschaltet werden muss -> ist mir z.Z. zu gefährlich.
Vielleicht hat jemand einen Tipp, wie ich sonst noch die Outlook express-Daten von dem PC runterziehen und auf einen (XP)-Schlepptop übertragen kann. Danach werde ich dem Inhalt der Festplatte den Gnadenstoß geben.
Viel Spass beim Hobby
Ritchie
PS: Die Rechner gehören einem 60+ Bekannten. Dass hier nicht immer die notwändigen Schutzmaßnahmen getroffen wurden ist verständlich, sein Laptop wird besser abgesichert. Ich finde es gut, dass Leute in diesem Alter noch gewillt sind, den Umgang mit Computern zu erlernen!

</font><blockquote>Zitat:</font><hr />Original erstellt von ritchie:
Die geladenen Viren habe ich nicht notiert (ist ja alles von AV erkannter Standard), diese Viren sind auch nicht das Problem, sondern das o.b. Teufelchen.</font>[/QUOTE]Das ist natürlich schlecht, denn so bleibt uns und Dir nur wildes Spekulieren, Du hast ja schon damit angefangen. Und dabei wird vermutlich nicht viel rauskommen.
Ansonsten könnte man gezielte Hinweise zum Entfernen geben; ein Formatieren der Festplatte ist in vielen Fällen nicht unbedingt nötig.

Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie

</font><blockquote>Zitat:</font><hr />Original erstellt von ritchie:

AV wollte ich jetzt nicht erneuern, da hierzu die alte Version abgeschaltet werden muss -&gt; ist mir z.Z. zu gefährlich. </font>[/QUOTE]Äääh ?
wie kommst du darauf ?

Einfach AVPE updaten (Haken "nur neue Dateien" bei AVPE-Setup WEGmachen); dann reboot und alles Scannen

Wenn du Bedenken hast, dass bei bestehender Inet-Verbindung (für's Update) dein "Teufelchen" wieder aktiv wird:
AVPE von www.free-av.de auf einem anderen PC runter laden, auf CD brennen oder Disketten verteilen und den 98er PC im abgesicherten Modus booten. Dann AVPE drüberinstallieren (s.o.)

Oder noch risikoloser:

nach www.fprot.org/fr_boot.htm
auf einem sauberen 98er oder ME-PC
AV-Bootdisks erstellen,
verseuchten PC damit booten & scannen

Evtl gefundene Viren erstmal NICHT löschen, sondern entweder reparieren lassen oder Viren- und Datei/Pfadnamen notieren.
Anhand dessen kann man dann weitersehen; bzw. du kannst dich über die gefundenen Viren & deren Entfernung in den einschlägigen Seiten informieren:
www.F-secure.com
www.trendmicro.com
www.sophos.de


Danke, Hirsch

[ 22. Juli 2003, 21:09: Beitrag editiert von: Who Cares ]

Hi,
der von WhoCares genannte Link hat ein "l" zuviel und lautet richtig http://www.fprot.org/fr_boot.htm
Gruß
Der