virusbefall - wer erkennt die symptome?

[RaistlinMajere]

nachdem sich auf einer meiner maschinen einige merkwürdige symptome gezeigt haben, scheint es seit heute sicher zu sein, daß sie von einem virus infiziert worden ist (OS ist übrigens win2k, sp4).

1.) netzwerkzugriff auf den an die maschine angeschlossenen drucker funktioniert nur bedingt, einmal wie gewünscht, dann wieder nicht

2.) auf der maschine selbst startet seit heute der nav2003-virusguard nicht mehr (nav lieferte eine entsprechende meldung, daß die ursache ein virus sein könnte und riet zu einer neuinstallation), nav2003 lässt sich generell nicht mehr starten. ein versuch, zu deinstallieren, schlug zuerst fehl (nicht einmal die softwareauflistung zur deinstallation ließ sich starten), nach einem reboot funktionierte es aber. hab nav neu installiert, installation verlief einwandfrei, doch beim versuch, danach automatisch die virenbibliotheken upzudaten, wurde der vorgang einfach abgebrochen. dasselbe passiert, wenn ich, obwohl der guard im hintergrund läuft, das hauptprogramm starte und manuell dieses update oder auch nur einen gesamtscan durchführen will. anwendung schließt sich (ohne fehlermeldung) - aus (guard bleibt aber nach wie vor aktiv).

3.) die firewall (sygate), die sich normalerweise automatisch beim start aktivieren sollte, tut das nicht mehr. ein manueller aufruf bewirkt nichts, sie startet einfach nicht.

4.) was ich am interessantesten finde... es ist nicht möglich, win2k im abgesicherten modus zu starten, der druck auf F8 während der aufforderung bleibt wirkungslos.

ich habe übrigens zusätzlich antivirXP installiert und über das system drüberlaufen lassen, der hat aber nix gefunden.

nun meine frage, bevor ich mich dazu entschließe, die nötigen daten zu sichern und die hd´s zu formatieren (LL)... kennt jemand die beschriebenen symptome und kann den virus identifizieren, so daß mir ein neuaufsetzen vllt. doch erspart bleibt, wenn sich für den virus ein removal-tool auftreiben lässt?

bin wie immer für jede hilfestellung dankbar.

[RaistlinMajere]

ein symptom habe ich noch vergessen:
das einloggen dauert ein wenig länger als das vor dem virusbefall der fall war. habe mir schon das run-verzeichnis in der registry angesehen, da steht aber nix für mich verdächtig aussehendes drin.

[jay_R]

Gibts Fehlermeldungen in der Ereignisanzeige?

[Seppo]

kanns sein das das ding einfach nur überlastet ist ?

das mit der F8 taste beim booten kommt mir komisch vor kenn keinen virus der das kann..

aber müsste des dann net ein boot virus sein.. weil zum win kommst ja gar net .. wenn die f8 taste drücken willst und des geht net

[fredf]

Versuch es mal mit einem Onlinescan mit Bitdefender, der findet so manches.
Mit F-Prot könntest es noch übers Dos versuchen, Links zu beiden findest auf http://www.heise.de/security/dienste...us/links.shtml

[J@ck]

Ich denk das Problem mit dem "Starten im abgesicherten Modus" ist vorerst zu ignorieren, kann auch vom Virus/Wurm sein aber dazu später mehr.

Ich persönlich kenne das Problem dass der Antivirus sich nicht einschalten lässt bzw. sich sofort wieder abdreht nachdem ich ihn aufgerufen hab (geht ziemlich schnell). Da half kein Neuinstall, da half auch kein Update. Es war einfach der dumme W32/Gaobot.worm.aa der mir die Programme verweigerte.
Auch das Arbeiten im Netzwerk wurde zu einem mächtigen Problem, sobald ich Daten auf den befallenen Rechner kopierte, startete sich die Mühle einfach neu.
Sobald du zumindest herauskriegen kannst welcher Wurm/Virus es ist, hast schon zu 80% gewonnen.
Ich würd im normalen Modus mal mit Spybot das System checken und dann im abgesicherten einen Antivirus (ev. Norton) installieren.
Wenns bei dir zufällig auch der Gaobot ist, hilft dir vielleicht der Thread weiter: http://www.wcm.at/forum/showthread.php?threadid=113970

[alpi]

Ich hatte fast die gleichen Probleme. Habe einen Norton-Online-Scan gemacht (Dauer ca. 10 Stunden !!!), der dann den W32.HLLW.Gaobot.AE in 00000048.exe und den Download.Trojan in der Datei tmksrvl.exe gefunden hat.
Das Löschen der besagten Dateien half allein noch nichts. Es Mußte auch noch ein Eintrag in der Registry im RUN-Verzeichnis gelöscht werden. Allerdings beendete sich der Regedit automatisch, sobald ich den besagten Eintrag löschen wollte. Hab's dann mit einem kleinen Programm (Autostartmanager), welches auf einer Heft-CD war geschafft. Allerdings war mir der abgesicherte Modus weiterhin versperrt; ich konnte zwar F8 ausführen, allerdings war die anmeldemaske gesperrt.
Hab dann den Hut draufgehaut, formatiert und bin dzt. gerade dabei, in mühsamer Kleinarbeit die Kiste wieder aufzusetzen. Ich hoffe nur, dass mir beim ersten Gang ins Internet der Gaobot nicht neuerlich hereinkommt.

[RaistlinMajere]

Zitat:

Original geschrieben von alpi
Ich hoffe nur, dass mir beim ersten Gang ins Internet der Gaobot nicht neuerlich hereinkommt.

das wird er wohl, tat er bei mir nämlich auch. da hats nicht geholfen, daß ich die virusscanner-updates runtergeladen habe, das system neu aufgesetzt und dann den virenscanner offline upgedatet habe, um ihn aufs connecten mit dem internet "vorzubereiten", der virus kam trotzdem und infizierte sofort.
ich hab dann den hut drauf gehaut, mir ein linux-kastl als router aufgesetzt und seit dem gibts keine probleme (erst wieder, seit dem ich den linux-router durch einen von netgear ersetzt habe, aber das ist eine andere geschichte.

[Seppo]

ich find das gemein ich will auch mal so einen virus haben!!!!
immer nur kriegt ihr die guten... und bei mir tut sich gar nix (

[Karl]

@RaistlinMajere!
Da kann ich dir nur raten diese beiden Threads aufmerksam zu lesen.

http://www.wcm.at/forum/showthread.p...hreadid=114923

http://www.wcm.at/forum/showthread.p...hreadid=115433