Seit kurzem kommt von Free-AV immer folgende Fehlermeldung:
http://www.abload.de/thumb/freeavmup9.jpg (http://www.abload.de/image.php?img=freeavmup9.jpg)

Die Datei c_315811.nls existiert aber überhaupt nicht.

Egal ob ich ignorieren, löschen, quarantäne usw auswähle - beim nächsten Systemstart kommt wieder die Meldung.

AVG und Avast (die ich beide nicht mag) hab ich beide testweise installiert und da gibts diese Meldung nicht.

Antivir hab ich neuinstalliert, weil ich dachte, daß ich es zerschossen habe.

Wo liegt der Hund begraben?

Ein wenig Recherche hat ergeben das diese Meldung wohl im zusammenhang mit einem Virus steht der Online-Banking ausspähen soll. Also sei zumindest vorsichtig.
Ein Bekannter hat den Virus auch aber er bekommt ihn nicht weg...

Ein wenig Recherche hat ergeben das diese Meldung wohl im zusammenhang mit einem Virus steht der Online-Banking ausspähen soll. Also sei zumindest vorsichtig.
Ein Bekannter hat den Virus auch aber er bekommt ihn nicht weg...

Ja, danke.

Onlinebanking betreibe ich zum Glück nicht. Die Unterlagen dafür liegen alle irgendwo im Papierberg. :)
Mich wundert halt nur, daß ich die Datei, die infiziert sein soll, überhaupt nicht finde.

mmm...

Hast du die automatische Systemwiederherstellung aktiviert?
Wenn ja, deaktivieren, ansonsten stellt Windows die Datei immer wieder von sich heraus wieder her.

Ebenso solltest du noch einen Scan mit einer Rescue-CD machen.
Avira und Kaspersky solltest du benutzen:
http://www.askvg.com/download-free-bootable-rescue-cds-from-kaspersky-bitdefender-avira-f-secure-and-others/
Avast und AVG sind nicht kostenlos!

Mich wundert halt nur, daß ich die Datei, die infiziert sein soll, überhaupt nicht finde.
Vielleicht mal mit Scandisk (chkdsk) die Systemplatte überprüfen lassen. Vielleicht ist irgendwo in einem Dateifehler der Wurm drin.

mmm...

Hast du die automatische Systemwiederherstellung aktiviert?
Wenn ja, deaktivieren, ansonsten stellt Windows die Datei immer wieder von sich heraus wieder her.

Ebenso solltest du noch einen Scan mit einer Rescue-CD machen.
Avira und Kaspersky solltest du benutzen:
http://www.askvg.com/download-free-bootable-rescue-cds-from-kaspersky-bitdefender-avira-f-secure-and-others/
Avast und AVG sind nicht kostenlos!

Ich hab die automatische Systemwiederherstellung deaktiviert, danach neugestartet und leider keine Änderung.
Danach hab ich mal den antivir guard abgestellt und in den system32 Ordner geguckt. -> die Datei existiert nicht.

Das mit der Rescue CD ist gerade schlecht, weil in meinem Zweitrechner (der, wo ich grad dransitze) das Laufwerk hinüber ist. Aber danke für den Link. Ein neues Laufwerk kommt bald.


@ sei laut
Ich werds mal probieren. Nur irgendwie hab ich immer den Verdacht, daß Antivir spinnt, obwohl ich es neu installiert habe.

Warum sind die BootCDs von hier http://www.askvg.com/download-free-bootable-rescue-cds-from-kaspersky-bitdefender-avira-f-secure-and-others/ kostenlos?

Warum sind die BootCDs von hier http://www.askvg.com/download-free-bootable-rescue-cds-from-kaspersky-bitdefender-avira-f-secure-and-others/ kostenlos?
Weil sie es nicht sind.
Da steht bei AVG und Avast "Purchase AVG und avast! Rescue CD" und nicht Download wie bei den anderen. ;)

In der aktuellen c´t ist eine DVD mit Knoppichillin dabei. 3 Scanner mit Online-Update für 5€.

Weil sie es nicht sind.
Da steht bei AVG und Avast "Purchase AVG und avast! Rescue CD" und nicht Download wie bei den anderen. ;)

So, aber bei Kaspersky und bei Bitdefender steht Download ISO CD. Und wenn man das macht dann hat man auch eine funktionierende CD - selbst probiert.

Also nochmal die Frage: Warum sind die BootCDs kostenlos?

Warum nicht?

Bitdefender und Kaspersky stellen sie eben kostenlos zur Verfügung:

Bitdefender: http://download.bitdefender.com/rescue_cd/

Kaspersky: http://dnl-eu3.kaspersky-labs.com/devbuilds/RescueDisk/

Sollte daran etwas Besonderes sein?

Laz-Y will sich nur daran hochziehen, dass es von Avast und AVG auch kostenpflichtige Scanner gibt.
Die Free-Versionen beachtet er nicht.

In der aktuellen c´t ist eine DVD mit Knoppichillin dabei. 3 Scanner mit Online-Update für 5€.
Nicht ganz, muss man nun bei heise bestellen.
Aktuell ist die Januarausgabe. Den gleichen Fehler hab ich vor ein paar Tagen gemacht. :D

Laz-Y will sich nur daran hochziehen, dass es von Avast und AVG auch kostenpflichtige Scanner gibt.
Die Free-Versionen beachtet er nicht.
Die Andeutung versteh ich nicht. Gibt es denn von Kaspersky bzw Bitdefender auch ne Freeversion? Falls ja ist meine Frage damit geklärt.

Nein gibt es nicht.
Und Rettungs CDs sind noch lange nicht mit den normalen Antiviren Versionen vergleichbar und ersetzen diese auch nicht.
Und wie auch schon erwähnt wurde sind AVG und Avast keine Freeware.
Avast ist nur, nach kostenloser Registrierung, für die private Nutzung kostenlos.
Hat dafür aber auch keinerlei Einschränkungen und ist frei von Werbung.

Warum sind die BootCDs von hier http://www.askvg.com/download-free-bootable-rescue-cds-from-kaspersky-bitdefender-avira-f-secure-and-others/ kostenlos?mmm...

Auf der Seite sind einfach nur direkte Links zu den Herstellern gemacht worden. Avira, Kaspersky und F-Secure bieten ihren Scanner für umsonst an, vielleicht wegen Imagegewinn.
Ich verlinke diese Seite nur deshalb gerne, weil die da eben als Link aufgezählt sind. Alternativ könnte ich eine eigene Seite dazu basteln, hab aber keine Lust dazu und ausserdem ist alle paar Wochen mein Traffic überschritten und die Seite damit down ;).

Soweit ich weiß, sind das vollständige Scanner, nur eben kann man damit nichts anderes ausser scannen machen ;).

Ich denke, wenn schon Antivir das Rootkit entdenkt hat, dann ist der Einsatz deren Offline-Scanners (http://www.free-av.de/de/tools/12/avira_antivir_rescue_system.html) empfehlenswert.

Denkt ihr denn, daß ein Virus auf dem Rechner tatsächlich drauf ist oder ist es eine Falschmeldung? Hier ist ja auch von einem gefundenen Rootkit die Rede. Ich kann da nicht ganz folgen.
Wie gesagt: Die angeblich befallene Datei c_315811.nls kann ich absolut nicht finden.

Am Dateisystem liegts nicht und die Kaspersky Rettungs-Cd bin ich grad am saugen.

Ein Rootkit kann die Routinen, welche Windows für den Zugriff auf das Dateisystem benutzt, manipulieren. Du siehst dann also nicht unbedingt alle Dateien. Umgeht ein Virenscanner diese Routinen, kann er auf diese 'unsichtbaren' Dateien zugreifen. Das ganze betrifft nicht nur Dateien sondern auch Registry-Zugriffe, angezeigte Prozesse im Taskmanager etc.
Also am besten das System scannen wenn es (und somit das Rootkit) nicht aktiv ist -> Rescue-CD

Ein Rootkit kann die Routinen, welche Windows für den Zugriff auf das Dateisystem benutzt, manipulieren. Du siehst dann also nicht unbedingt alle Dateien. Umgeht ein Virenscanner diese Routinen, kann er auf diese 'unsichtbaren' Dateien zugreifen. Das ganze betrifft nicht nur Dateien sondern auch Registry-Zugriffe, angezeigte Prozesse im Taskmanager etc.
Also am besten das System scannen wenn es (und somit das Rootkit) nicht aktiv ist -> Rescue-CD

Thx, werde ich später mal machen. (erstmal dvd Laufwerk umbauen usw)

Rootkit
Die angeblich befallene Datei c_315811.nls kann ich absolut nicht finden. Besorge dir eine Live-CD und informiere dich z.B. auf den Seiten des Herstellers deines Betriebssystems mal ausführlich über Gefahren von Schadsoftware und wie man diese abwendet. Die Redmonder haben auf ihrer Internetpräsenz einen Haufen guter Dokumentation. Das infizierte System auf keinen Fall mehr ans Netz hängen.

Würde einfach mal jeder Windows-User die Ratschläge und Anleitungen zur Absicherung seines Systems lesen, die MS so anbietet, hätte es Schadsoftware weitaus schwerer.

Aber nein, sinnvolle Sicherheitsfeatures werden deaktiviert und Anleitungen lesen ist ja nur was für DAUs. Das ist jedoch völliger Unfug. DAUs lesen keine Anleitungen, während dies bei Benutzern mit Hirn deutlich verbreiteter sein soll. Und wer diesen Beitrag hier jetzt mit Rootprivilegien liest, sollte seinen PC besser ganz ausschalten, in die nächste Bücherei fahren und sich ein Buch über die Bedienung seines bevorzugten Betriebssystems besorgen.

Es ist absolut nichts besonderes, dass ein Rootkit Dinge vor dem Anwender versteckt. Den Ausgaben eines kompromittierten Systems ist nicht zu trauen. Sicherheit hat rein gar nichts mit 3-Klick-Tools und bunten Oberflächen zu zun, sondern hängt in erster Linie davon ab, wie der Nutzer mit dem System umgeht. Wenn man seine Software ausschließlich aus vertrauenswürdigen Quellen bezieht und das Betriebssystem, sowie seine Anwendungsprogramme immer auf dem neuesten Stand hält, ist es höchst unwahrscheinlich sich irgendwelche Malware einzufangen.

Wenn ich bei Bekannten PCs sehe, wundere ich mich immer über die Vielzahl der unterschiedlichen Firmen/Institutionen/Personen, denen sie scheinbar zu vertrauen scheinen. Auf die Frage was derjenige denn von Firma X (Hersteller irgendeiner Software, die auch noch Treiber installiert) hält, kennt dieser jene Firme überhaupt nicht. So kann das natürlich nicht funktionieren oder würdet ihr etwa einem Fremden auf der Straße euren Haustürschlüssel überlassen, nur weil dieser verspricht, dass er ab und an mal die Blumen gießt oder einen Kuchen backt, während ihr arbeiten seid? Nein? Warum tut ihr es dann im Internet?

Meine Software kommt unter Windows zum allergrößten Teil von Microsoft, dann den Herstellern meiner Hardware (Nvidia, Intel, Marvell), einigen Open Source-Projekten (TrueCrypt, Mozilla Firefox, Miranda IM, 7-Zip, usw.), sowie Rockstar Games aufgrund von GTA 4, was natürlich auch Securom miteinschließt. Unter Linux (was ich eigentlich hauptsächlich nutze) stammt meine Software entweder aus den Repos meiner bevorzugten Distribution oder direkt von den jeweiligen Entwicklern im Quellcode.

All diesen Softwarelieferanten muss ich meinen PC voll und ganz anvertrauen, wenn ich zur Installation den UAC-Dialog von Vista mit der Eingabe der Passphrase bestätige oder jene Software mit Rootprivilegien ausführe. Tue ich das nicht, darf ich diese Software nicht nutzen. Tue ich es doch, brauche ich mich auch nicht über ein System beschweren, das nicht mehr durch mich kontrolliert wird.

PS: Bevor mir jetzt jemand wegen Securom und GTA4 einen Strick drehen will: Ich finde Securom auch nicht toll. Da ich aber ein Softwarepaket von Take2/Rockstar Games gekauft habe, vertraue ich diesen Firmen insoweit, dass sie auf meinem Rechner nicht ohne mein Wissen Sicherheitslücken aufreißen. Sollte ich enttäuscht werden, habe ich hier immer noch eine Adresse, an die ich mich wenden kann. Gerade bei Securom ist dies wichtig, da diese Software den Start meines geliebten GTA4 unterbindet, wenn ich das Verhalten dieser Software mithilfe von Programmen aus Mark Russinovichs Sysinternals Suite überprüfen möchte. Durch geschicktes Timing war es mir dennoch möglich den Grund für das Nichtstarten von GTA4 auf meiner Windows Server 2008 Trial Version (wegen einem Spiel in vielen Jahren lohnt sich der Kauf von Vista einfach nicht, wie gesagt, nutze eigentlich nur Linux) herauszufinden.

Da ich nur Software aus vertrauenswürdigen Quellen einsetze, benötige ich auch keinen Virenscanner oder ähnliches. Wer natürlich ständig als Admin eingeloggt ist und alles ausführt, was interessant sein könnte oder auch Schwarzkopien seines Betriebssystems nutzt und deshalb auf Updates verzichtet, braucht keinen Virenscanner, sondern ein gutes Buch über die verantwortungsvolle Nutzung eines Computers mit Internetanschluss.

Wenn das System kompromittiert ist, liegt die einzige Lösung in einer Neuinstallation und dem Überlegen, wie man soetwas in Zukunft vermeiden kann. Zu späteren Analysezwecken kann das Erstellen eines Images mithilfe einer Linux-Live-CD und des Programms "dd" hilfreich sein.

Besorge dir eine Live-CD und informiere dich z.B. auf den Seiten des Herstellers deines Betriebssystems mal ausführlich über Gefahren von Schadsoftware und wie man diese abwendet. Die Redmonder haben auf ihrer Internetpräsenz einen Haufen guter Dokumentation. Das infizierte System auf keinen Fall mehr ans Netz hängen.

Würde einfach mal jeder Windows-User die Ratschläge und Anleitungen zur Absicherung seines Systems lesen, die MS so anbietet, hätte es Schadsoftware weitaus schwerer.

Aber nein, sinnvolle Sicherheitsfeatures werden deaktiviert und Anleitungen lesen ist ja nur was für DAUs. Das ist jedoch völliger Unfug. DAUs lesen keine Anleitungen, während dies bei Benutzern mit Hirn deutlich verbreiteter sein soll. Und wer diesen Beitrag hier jetzt mit Rootprivilegien liest, sollte seinen PC besser ganz ausschalten, in die nächste Bücherei fahren und sich ein Buch über die Bedienung seines bevorzugten Betriebssystems besorgen.

Es ist absolut nichts besonderes, dass ein Rootkit Dinge vor dem Anwender versteckt. Den Ausgaben eines kompromittierten Systems ist nicht zu trauen. Sicherheit hat rein gar nichts mit 3-Klick-Tools und bunten Oberflächen zu zun, sondern hängt in erster Linie davon ab, wie der Nutzer mit dem System umgeht. Wenn man seine Software ausschließlich aus vertrauenswürdigen Quellen bezieht und das Betriebssystem, sowie seine Anwendungsprogramme immer auf dem neuesten Stand hält, ist es höchst unwahrscheinlich sich irgendwelche Malware einzufangen.

Wenn ich bei Bekannten PCs sehe, wundere ich mich immer über die Vielzahl der unterschiedlichen Firmen/Institutionen/Personen, denen sie scheinbar zu vertrauen scheinen. Auf die Frage was derjenige denn von Firma X (Hersteller irgendeiner Software, die auch noch Treiber installiert) hält, kennt dieser jene Firme überhaupt nicht. So kann das natürlich nicht funktionieren oder würdet ihr etwa einem Fremden auf der Straße euren Haustürschlüssel überlassen, nur weil dieser verspricht, dass er ab und an mal die Blumen gießt oder einen Kuchen backt, während ihr arbeiten seid? Nein? Warum tut ihr es dann im Internet?

Meine Software kommt unter Windows zum allergrößten Teil von Microsoft, dann den Herstellern meiner Hardware (Nvidia, Intel, Marvell), einigen Open Source-Projekten (TrueCrypt, Mozilla Firefox, Miranda IM, 7-Zip, usw.), sowie Rockstar Games aufgrund von GTA 4, was natürlich auch Securom miteinschließt. Unter Linux (was ich eigentlich hauptsächlich nutze) stammt meine Software entweder aus den Repos meiner bevorzugten Distribution oder direkt von den jeweiligen Entwicklern im Quellcode.

All diesen Softwarelieferanten muss ich meinen PC voll und ganz anvertrauen, wenn ich zur Installation den UAC-Dialog von Vista mit der Eingabe der Passphrase bestätige oder jene Software mit Rootprivilegien ausführe. Tue ich das nicht, darf ich diese Software nicht nutzen. Tue ich es doch, brauche ich mich auch nicht über ein System beschweren, das nicht mehr durch mich kontrolliert wird.

PS: Bevor mir jetzt jemand wegen Securom und GTA4 einen Strick drehen will: Ich finde Securom auch nicht toll. Da ich aber ein Softwarepaket von Take2/Rockstar Games gekauft habe, vertraue ich diesen Firmen insoweit, dass sie auf meinem Rechner nicht ohne mein Wissen Sicherheitslücken aufreißen. Sollte ich enttäuscht werden, habe ich hier immer noch eine Adresse, an die ich mich wenden kann. Gerade bei Securom ist dies wichtig, da diese Software den Start meines geliebten GTA4 unterbindet, wenn ich das Verhalten dieser Software mithilfe von Programmen aus Mark Russinovichs Sysinternals Suite überprüfen möchte. Durch geschicktes Timing war es mir dennoch möglich den Grund für das Nichtstarten von GTA4 auf meiner Windows Server 2008 Trial Version (wegen einem Spiel in vielen Jahren lohnt sich der Kauf von Vista einfach nicht, wie gesagt, nutze eigentlich nur Linux) herauszufinden.

Da ich nur Software aus vertrauenswürdigen Quellen einsetze, benötige ich auch keinen Virenscanner oder ähnliches. Wer natürlich ständig als Admin eingeloggt ist und alles ausführt, was interessant sein könnte oder auch Schwarzkopien seines Betriebssystems nutzt und deshalb auf Updates verzichtet, braucht keinen Virenscanner, sondern ein gutes Buch über die verantwortungsvolle Nutzung eines Computers mit Internetanschluss.

Wenn das System kompromittiert ist, liegt die einzige Lösung in einer Neuinstallation und dem Überlegen, wie man soetwas in Zukunft vermeiden kann. Zu späteren Analysezwecken kann das Erstellen eines Images mithilfe einer Linux-Live-CD und des Programms "dd" hilfreich sein.

Vielen Dank für den ausführlichen Vortrag. :)

Zur meiner Verteidigung muß ich noch sagen, daß die Installation noch von einem KT333 System mit XP1800+ stammt. (dürfte also etwa 5 Jahre alt sein)
Die hat also schon über 3 Mainboards, 2 Cpus und 3 Grafikkarten gehalten.
Das heisst, daß ich in dieser Zeit schon ein wenig drauf geachtet habe, was ich so installiere.
Ich vermute, daß das Rootkit bei einer P2P-TV Programm Installation draufgekommen ist, bin mir aber nicht ganz sicher. Auf ein System mit wichtigen Daten usw, würde ich sowas überhaupt nicht installieren.

Ich sitze jetzt an meinem Hauptrechner.

Ich vermute, daß das Rootkit bei einer P2P-TV Programm Installation draufgekommen ist, bin mir aber nicht ganz sicher.Halte ich gar nicht mal für so unwahrscheinlich. Vor etwa zwei Jahren habe ich festgestellt, dass ein beachtlicher Teil der Programme, mit denen man damals Bundesliga-Spiele streamen konnte, Malware enthielten. Das ging von mehr oder weniger harmloser Adware, Spyware bis hin zu fiesen Backdoors. Entsprechende Warnungen an begeisterte Nutzer solcher Software hielten diese aber nicht von weiterer Nutzung ab, solange sie "kostenlos" und "umsonst" ihren Lieblingsverein in völlig mieser Qualität und ständigen Aussetzern "genießen" konnten.

Wäre ich ein derartiger Fußballfan, würde ich bereits nach kurzem Nachdenken darauf kommen, dass ein Premiere-Abo oder eine Dauerkarte definitiv die günstigere Lösung ist. Im Internet kann man aber viel Geld damit machen, indem man sein Angebot einfach als "kostenlos" bezeichnet, ob dies nun der Fall ist oder nicht. Keiner hat was zu verschenken. Keiner.

Abseits vom Scannen der Platte von einem definitiv sauberen System (Live-CD) aus, sind die Programme von Sysinternals (vor einiger Zeit von MS aufgekauft) auch immer einen Blick wert. Deren RootkitRevealer stellt für 32-bittige NT-Systeme vor Windows Vista (also auch dein XP) einen interessanten und funktionierenden Ansatz dar, Anzeichen für ein Rootkit anzuzeigen. Entfernen kann es solche natürlich nicht und es wird auch nicht mit so etwas geworben, da der Entwickler definitiv weiß, was er tut.

Zu finden ist das Programm auf der Microsoft-Internetpräsenz. Einfach nach Sysinternals, Mark Russinovich oder Rootkitrevealer Ausschau halten. Dort wirst du auch noch einige weitere Tools und vor allem Dokumentation finden.

Besten Dank allen.
Mit der Kaspersky Rescue CD hats direkt hingehauen. Grad als ich aufgewacht bin, war der Scan zu 99% beendet. :)

Und? Welcher Übeltäter war's?

Und? Welcher Übeltäter war's?

Die betroffenen Datein hiessen c_351811.nls und c_315811.VIR.
Wie der Übeltäter jetzt genau hieß, weiß ich nicht. Es war ein "Trojan horse, backdoor" Virus.

Das Kaspersky Programm (bootete unter Linux) hat eine Screenshot Funktion, aber wo der Screenshot jetzt abgelegt ist und ob ich darauf unter Windows Zugriff habe, weiß ich nicht.

Danke für deine Rückmeldung knallebumm! Ich werde es jetzt auch mal mit der besagten CD probieren - hoffentlich funzt es.

Die betroffenen Datein hiessen c_351811.nls und c_315811.VIR.
Wie der Übeltäter jetzt genau hieß, weiß ich nicht. Es war ein "Trojan horse, backdoor" Virus.
War es evtl. einer aus der TR/Silentbanker-Familie? Auf jeden Fall würde ich eine Neuinstallation empfehlen.