Tach,

mit dem PC meiner Cousine hab ich folgendes Problem, das ich hier darstellen will:

Ich wurde damit beauftragt, den PC wieder in Ordnung zu bringen. Der PC sei ziemlich langsam und würde vor allem bei Tätigkeiten im Internet unverhältnismäßig lange brauchen. Ein Virenscanner war nicht installiert. Das hab ich dann auch als erstes gemacht und auch das Spyware-Programm Ad-Aware installiert. Letzteres meldete eine dreistellige Anzahl von "schlechter" Software und der Virenscanner (AntiVir) wollte gar nicht mehr aufhören mit dem Fund irgendwelcher Backdoors, Würmer etc. Ein ziemlich hoffnungsloser Fall also. Trotzdem versuchten wir es und entferneten alle Schädlinge, soweit es ging. Besserung brachte das keine mehr. Daraufhin habe ich versucht, eine neue Partition auf derselben Festplatte (eigentlich dumm) zu erstellen und darauf Windows XP neu zu installieren mitsamt Virenscanner usw. Der PC zeigte weiterhin ein sehr merkwürdiges Verhalten. Hinzu kam immer wieder die doch sehr verdächtige Meldung, dass der PC in XX Sekunden heruntergefahren wird. Diese kam während des normalen Betriebs immer völlig unverhofft. Ein typisches Anzeichen eines Virus?
Nun wollte ich die Sache richtig machen und habe die verseuchte Festplatte ausgebaut und eine fabrikneue eingebaut, auf der ich wieder alles installiert habe. Die privaten Dateien (hautpsächlich Word-Dokumente) musste ich natürlich vorher auf CD sichern und wieder zurückspielen. Das stellte meiner Meinung nach aber kein Problem dar, weil eine evtl. verseuchte "Privatdatei" ja eigentlich sofort vom aktuellen Virenscanner erkannt hätte werden müsste.
Denkste! Gestern kam ein Anruf, dass der PC weiterhin unerträglich langsam ist (und meine Cousine überschätzt sicher nicht die Rechnerleistung ;-)) und dass auch die Herunterfahren-Meldung wieder auftritt.

Nun seid ihr dran, was soll ich denn noch versuchen?


Gruß

also, wenn man das xp ohne sp2 installiert, dann fängt man sich nach einwahl ins netz den sasser wurm ein (symptome sind beim sasser wurm der shutdown mit zeitangebabe http://www.pchell.com/virus/sasser.shtml).
das sp2 sollte also vor der konfiguration der netzwerverbindung installiert werden.
ausser xp konfiguriert das netzwerk automatisch (netzwerktreiber werden vom xp mitinstalliert und die ip adresse vom dhcp server bezogen), dann sollte vor der xp installation bis hin zur sp2 installation der computer vom netz genommen werden.

sp2 link:
http://www.computerbase.de/downloads/software/betriebssysteme/windows_xp_service_pack/

für das nachträgliche entfernen vom sasser wurm:
http://www.meduniwien.ac.at/itsc/howtos/sicherheitstipps/sasser/index.php
oder
http://www.pc-experience.de/wbb2/thread.php?threadid=8439&boardid=20&sid

die einfachste, schnellste und sauberste lösung wäre sicherlich
[x] plattmachen.

alternativ kannst du noch versuchen alle eindringlinge mit ad aware, spybot s&d und hijackthis sowie antivir von der platte zu putzen.
wird aber sicherlich ne weile dauern und selbst dann kann noch eine menge versteckt bleiben.

und hast du beim neuen windows kein sp2 und keine updates aufgespielt?

ich würde auf jeden fall eine neuinstallation machen und unbedingt vor der ersten einwahl ins netz SP2 installieren.

also, wenn man das xp ohne sp2 installiert, dann fängt man sich nach einwahl ins netz den sasser wurm ein (symptome sind beim sasser wurm der shutdown mit zeitangebabe http://www.pchell.com/virus/sasser.shtml)...

Das einzige Update, das installiert ist, ist das ServicePack1. Bin damit immer ganz gut gefahren und mach das bei allen PCs (die von mir stammen) so. Dass ein Service Pack 2 sicherer ist, das wage ich nicht zu bezweifeln. Aber warum sollte man sich ohne Sp2 und mit aktuellem Virenscanner gleich nach der Einwahl ins Netz diesen Wurm einfangen? Wo sollte der denn herkommen?


die einfachste, schnellste und sauberste lösung wäre sicherlich
[x] plattmachen.

alternativ kannst du noch versuchen alle eindringlinge mit ad aware, spybot s&d und hijackthis sowie antivir von der platte zu putzen.
wird aber sicherlich ne weile dauern und selbst dann kann noch eine menge versteckt bleiben.

und hast du beim neuen windows kein sp2 und keine updates aufgespielt?

Die Dinger nachträglich zu beseitigen ist nachweislich ziemlich mühsam. Hab da mal einen ziemlich guten Internetbeitrag gelesen, laut dem ein Wurm bzw. dessen Verbreitung in Systemdateien etc. nicht mehr ganz wegzubringen ist. Deswegen hatte ich ja neu installiert. Aber es wird doch auch irgendwie ohne Sp2 gehen?

Gruß

um sp2 wirst du über kurz oder lang nicht rumkommen.
gültige lizenzen für xp kosten auch kein vermögen mehr. ;)

Das einzige Update, das installiert ist, ist das ServicePack1. Bin damit immer ganz gut gefahren und mach das bei allen PCs (die von mir stammen) so. Dass ein Service Pack 2 sicherer ist, das wage ich nicht zu bezweifeln. Aber warum sollte man sich ohne Sp2 und mit aktuellem Virenscanner gleich nach der Einwahl ins Netz diesen Wurm einfangen? Wo sollte der denn herkommen?
Gruß

zitat:
Der Wurm scannt über den Port TCP 445 / TCP 9996 nach weiteren Rechnern, die diese Sicherheitslücke aufweisen. Ein FTP Script wird geladen welche sich über den Port 5554 die Dateien via FTP nachlädt.
Der Wurm startet vom neu infizierten Computer sofort 128 gleichzeitige Angriffsversuche ins Internet, beziehungsweise ins lokale Netzwerk.
Es genügt somit, einen ungepatchten Rechner ohne Firewall ans Internet anzuschließen, um sich Sasser einzufangen, analog zum bekannten W32.Blaster.

quelle: http://www.pc-experience.de/wbb2/thread.php?threadid=8439&boardid=20&sid

Aber es wird doch auch irgendwie ohne Sp2 gehen?


warum hast du denn so eine abneigung gegen SP2?

Typischer Dau-Rechner. Nach Neuinstallation -zumindest für den Onlinebereich- unbedingt Microsoft SteadyState Account einrichten: http://www.microsoft.com/windows/products/winfamily/sharedaccess/default.mspx

zumindest sollte man zusätzlich zum sp1 das sicherheitsupdate "windowsXP-KB835732-x86-DEU" installieren.

http://www.meduniwien.ac.at/itsc/howtos/sicherheitstipps/sasser/index.php
http://www.microsoft.com/downloads/details.aspx?FamilyId=3549EA9E-DA3F-43B9-A4F1-AF243B6168F3&displaylang=de

Ich habe kein Problem mit dem Service Pack 2 und bin auch kein Raubkopierer ;-) Aber ich hielt es bisher einfach nicht für nötig und eher für den Grundsatz "Never touch a running System", deswegen habe ich es nie installiert. Aber da es anscheinend aus sicherheitsrelevanten Gründen doch empfehlenwert ist, werde ich es bei einer erneuten Installation mit drauf tun....und hoffe damit, das Problem endgültig los zu sein :-)
Ach ja, die Eigenen Dateien darf ich aber trotzdem (nachdem das System steht) wieder zurückkopieren?

Gruß


P.S.: Was ist ein DAU-Rechner?

Ach ja, die Eigenen Dateien darf ich aber trotzdem (nachdem das System steht) wieder zurückkopieren?


solange du sie gründlich auf viren prüfst wird das gehen.

P.S.: Was ist ein DAU-Rechner?
dau (http://de.wikipedia.org/wiki/D%C3%BCmmster_anzunehmender_User) ;)

Aber da es anscheinend aus sicherheitsrelevanten Gründen doch empfehlenwert ist, werde ich es bei einer erneuten Installation mit drauf tun....und hoffe damit, das Problem endgültig los zu sein :-)
Und die Firewall danach schön aktiviert lassen. Am besten gleich noch per Windows-Update die restlichen Patches hinterherinstallieren.
Ach ja, die Eigenen Dateien darf ich aber trotzdem (nachdem das System steht) wieder zurückkopieren?
Wenn dann der Virenscanner schon läuft und aktuell ist, schon.
Was ist ein DAU-Rechner?
Der Rechner eines DAUs (http://de.wikipedia.org/wiki/D%C3%BCmmster_anzunehmender_User)

Ich habe kein Problem mit dem Service Pack 2 und bin auch kein Raubkopierer ;-) Aber ich hielt es bisher einfach nicht für nötig und eher für den Grundsatz "Never touch a running System", deswegen habe ich es nie installiert. Aber da es anscheinend aus sicherheitsrelevanten Gründen doch empfehlenwert ist, werde ich es bei einer erneuten Installation mit drauf tun....und hoffe damit, das Problem endgültig los zu sein :-)


Bei SP2 wurde noch viel mehr gefixt, u.A. kann man erst mit SP2 WPA-Verschlüsselung für WLAN verwendet, es kamen noch einige USB- und Firewire-Fixes mit dazu. Ich war auch zuerst gegen SP2 (weil es die Performance im Gigabit-Lan ziemlich reduziert), aber mittlerweile verwende ich nur noch SP2, da es zu viele Probleme mit diversen Dingen gab.