Dedies-Board (https://www.dedies-board.de/wbb2/index.php)
- Sicherheit (https://www.dedies-board.de/wbb2/board.php?boardid=6)
-- Anti-Virenboard (https://www.dedies-board.de/wbb2/board.php?boardid=8)
--- hotbar (wbemess.lo_) (https://www.dedies-board.de/wbb2/thread.php?threadid=1329)
Geschrieben von i.c.wiener am 11.04.2006 um 13:04:
hotbar (wbemess.lo_)
Hallo @ all
Irgendwann erwischt es anscheinend jeden mal - und diesmal war ich wohl an der Reihe - respektive mein Notebook. Vor ein Paar Tagen hatte mein System (XP Home) begonnen, sie recht auffällig und eigenartig zu verhalten. Die Virensuche per Kaspersky brachte allerdings nix, genau so wenig konnten Spybot und AdAware einen Schädlingsbefall melden.
Also auf die Schnelle 'ne Trailversion von eScan runtergeladen und den Scanner seine Arbeit machen lassen. Ergebnis: fünf ungebetene Gäste, darunter auch
whenu.save - was für mich ausreichend Anlass war, die Platte zu formatieren und ein älteres Image draufzupacken. (Zuvor hab ich per Partition Expert das Komplette Laufwerk mehrmals gelöscht und überschrieben.)
So. Jetzt sitze ich vor meinem Schleppi, scanne das neu aufgespielte, vermeindlich saubere Image per eScan und was muss ich feststellen? Auch hier findet das Tool einen Schädling - wenn auch "nur"
hotbar, und das ganze scheinbar in einer Spybot Backup Datei. (Welche ich aus Spybot heraus aber nicht löschen kann, weil sie dort nirgendwo aufgelistet ist)
| Zitat: |
Tue Apr 11 10:42:42 2006 => Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\spybot - search & destroy\backups\wbemess.lo_
Tue Apr 11 10:42:42 2006 => System found infected with hotbar Spyware/Adware (wbemess.lo_)! Action taken: No Action Taken. |
|
Was nu? Sicher - es handelst sich um Malware, deren Gefahrenpotential niedrig eingestuft ist - wenn ich mich nicht irre, kann man sich sogar darüber streiten, ob hotbar als BHO überhaupt den Status "Schädling" besitzt. Aber unabhängig davon bin ich nicht bereit, von eScan als "Virus" deklarierte Software auf meinem System zu haben.
Ausserdem frag ich mich, wieso weder Kaspersky, NOD32, Spybot und AdAware nix gefunden haben - weder bei der Live Überwachung des Systems als auch beim Komplettscan.
Wie soll ich weiter vorgehen. Sry wenn ich möglicherweise übertreibe, aber ich bin etwas angep*sst, dass all die Vorsichtsmaßnahmen, regelmäßigen Scans, aktuellen Patches und Brain1.0 Professional anscheinend NICHTS genutzt haben.
Grüße Euch alle
wiener
Geschrieben von MobyDuck am 11.04.2006 um 13:51:
Hi,
erstmal Entwarnung:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\spybot - search & destroy\backups\wbemess.lo_ kannst du einfach löschen. Da ist kein Schädling aktiv, da das Ding nur in einem Spybot-Backup sitzt.
Deine Frage nach den Scan-Erfolgen ist natürlich berechtigt. Allerdings halte ich es für wichtiger, mal über die Infektionswege nachzudenken. Wenn ich es recht sehe, fängt man sich so ein Zeug durch die Installation nicht vertrauenswürdiger Free- oder Shareware ein.
Geschrieben von i.c.wiener am 11.04.2006 um 14:29:
Erstmal danke für die schnelle Antwort.
Gut dass Du meine "Annahme" des Spybot Backups bestätigt hast - bin echt erleichtert, dass das System - laut meiner scanner - jetzt scheinbar sauber ist.
Die Sache mit den Infektionswegen... joa, auch bei aller Vorsicht siegt irgendwann einmal der Leichntsinn. Ich habe auch schon eine Vermutung wer / was mir den Ärger beschehrt hat; zumindest kann ich den Zeitraum, in dem die Fehler auftraten, einkreisen und mit ein paar installationen in verbindung bringen.
Aus Fehlern lernt man - hoffentlich. Jetzt kann ich mich erstmal um den Rechner meiner Verlobten kümmern ... da haben sich - anscheinend übers Netzwerk - ebenfalls kurzerhand jede Menge böser Sachen eingenistet. Zunächst mal habe ich das befallene System von CD gebootet (Knoppix), damit sie ihre "Onlinegeschäfte" temporär von einer sicheren Umgebung ausserhalb von Windows erledigen kann.
Dann werde ich mich wohl ans Neuaufsetzen machen... hab leider verschwitzt ein Image von Ihrem System zu machen. Dabei war ich sicher, dass sich zumindest eines in der Acronis Secure Zone befindet. Um den Datenverlust etwas einzudämmen, werde ich aus Knoppix heraus die wichtigsten Daten auf CD/DVD brennen. Andernfalls würden rund 100 GB eliminiert werden.
Ich überlege ernsthaft, ihren Rechner zu einem Dualboot System zu machen, bei dem nur bei speziellen M$ Anwendungen von XP gebrauch gemacht wird. Primär sollen alle anderen Angelegeneiten - vor allem Online - per Linix gemanaged werden.
Die Frage ist nur: Ubuntu, wegen der "Einfachheit", oder SuSE, weil ich das damals in der Schule von der Pieke auf gelernt hab und nen "Schein" in Systemadministration gemacht hab.
Geschrieben von MobyDuck am 11.04.2006 um 14:42:
Deine Vorgehensweise bzgl. des Verlobten-Rechners finde ich ok.
| Zitat: |
| Ich überlege ernsthaft, ihren Rechner zu einem Dualboot System zu machen, |
|
Damit fahre ich seit Mitte vergangenen Jahres bestens. Man darf nur nicht anfangen, bei Win schlampig zu werden (ertappe mich manchmal dabei
).
Welche Distri du wählst. ist IMO Geschmacksache. Ich persönlich habe an Susi keine guten Erinnerungen (werde mir wohl trotzdem 10.1 mal ansehen). Bei Ubuntu bin ich nicht objektiv. Funzt nämlich alles auf Anhieb, zumindest unter Gnome. Ich bin entsprechend begeistert, aber wenn du dich mit den Zicken von Susi auskennst...
Geschrieben von Vimes am 11.04.2006 um 20:11:
| Zitat: |
Original von i.c.wiener
zumindest kann ich den Zeitraum, in dem die Fehler auftraten, einkreisen und mit ein paar installationen in verbindung bringen. |
|
Wunderbar. Das ist schon mehr als die halbe Miete.
| Zitat: |
| Aus Fehlern lernt man - hoffentlich. |
|
Erfreulicherweise doch.
| Zitat: |
| Zunächst mal habe ich das befallene System von CD gebootet (Knoppix), damit sie ihre "Onlinegeschäfte" temporär von einer sicheren Umgebung ausserhalb von Windows erledigen kann. |
|
Traumhaft. @Team: Heut ist ein guter Tag. Schon gemerkt? @Wiener: Mein aufrichtiges Kompliment. So handelt ein verantwortungsbewußter Netzbenutzer. Schützt sich UND andere.
| Zitat: |
| Die Frage ist nur: Ubuntu, wegen der "Einfachheit", oder SuSE, weil ich das damals in der Schule von der Pieke auf gelernt hab und nen "Schein" in Systemadministration gemacht hab.
|
|
Mein Rat: Nimm Ubuntu. Susi finde ich persönlich ziemlich versaubeutelt, zumindest war es das in der 9.1er - hat mich dann gentoo in die Arme getrieben, insofern war es sicher nicht so schlimm, aber...
Was Du bei Susi in Sachen Systemadministration gelernt hast, kannst Du - leicht modifiziert (weil Susi sich an manche Standards nicht hält) auf fast jedem System weiterverwenden. Mit ein wenig Lernbereitschaft wird das.
User wie Dich können wir hier brauchen, bleib da...
MfG
Vi-es gibt verantwortungsbewußte User-mes
Geschrieben von madball am 12.04.2006 um 05:06:
@ j.c wiener
| Zitat: |
| ...aber ich bin etwas angep*sst, dass all die Vorsichtsmaßnahmen, regelmäßigen Scans, aktuellen Patches und Brain1.0 Professional anscheinend NICHTS genutzt haben. |
|
Das würde ich Dir glauben, aber so Momente gab es schon häufig
Naja, scheint so als hättest du Glück gehabt
| Zitat: |
| ...wieso weder Kaspersky, NOD32, Spybot und AdAware nix gefunden haben |
|
eine Frage: läuft das NOD32 zusätzlich auch unter bzw mit KAV??oder haste den KAV vorher deinst.?
Ach und eine Info zu
NOD32
Geschrieben von MobyDuck am 12.04.2006 um 08:19:
Du kannst so viele On-Demand-Scanner nebeneinander betreiben, wie du Lust hast. On-Access darf nur 1 Scanner laufen.
Geschrieben von i.c.wiener am 12.04.2006 um 09:42:
@madball / MD
Bei mir läuft immer nur ein Scanner - ganz einfach um kein unnötiges Risiko einzugehen. Also alten Scanner runter, neustart, neuen Scanner installieren.
Danke für den Tipp mit der NOD32 Sicherheitslücke - werde das Prog sofort Patchen.
@all
Was die Sicherheit angeht - mal ein kurzer Statusbericht:
Als ich meinem Notebook gestern offiziell den Stempel VIRENFREI aufgedrückt habe, nachdem selbst Scan nix mehr zu meckern hatte, hab ich mich ans runterladen von SuSE 10.0 gemacht. Die Images waren dank gutem Server und 6000er Anbindung recht fix da.
Zu guter letzt wollte ich eScan wieder runterschmeissen (hatte ja ne Trail Version installiert) und um auf Nummer sicher zu gehen, hab ich das Prog nochmal das gesamte System scannen lassen. Joa... was soll ich sagen...
| Zitat: |
Tue Apr 11 23:01:21 2006 => System found infected with tencent qq Spyware/Adware (skin.ini)! Action taken: No Action Taken.
Tue Apr 11 23:01:28 2006 => System found infected with tencent qq Spyware/Adware (skin.ini)! Action taken: No Action Taken.
Tue Apr 11 23:04:38 2006 => File C:\Dokumente und Einstellungen\***\Desktop\SUSE-10.0-CD-i386-GM-CD1.iso tagged as not-a-virus:RemoteAdmin.Win32.WinVNC-based.h. No Action Taken.
|
|
Darfs sonst noch was sein ?
Die Images sind inzwischen gebrannt und funktioniern (logischerweise)einwandfrei - die Image Datein selber hab ich vom System verbannt.
Und
tencent qq scheint harmlos zu sein - zumindest hat mich Google direkt auch Wikipedia verwiesen, was tencent qq wiederum als harmlosen Messenger bezeichnet. Hab ich aber weder installiert, noch war ich auf dubiosen Seiten.
Aber das kann doch alles nich sein. Ist eScan möglicherweise ein bisschen paraniod - stichwort "Fehlalarm" ?
Geschrieben von MobyDuck am 12.04.2006 um 11:54:
| Zitat: |
| Aber das kann doch alles nich sein. Ist eScan möglicherweise ein bisschen paraniod - stichwort "Fehlalarm" ? |
|
Nein. eScan benutzt die erweiterten Datenbanken der Kaspersky-Engine. Und kläfft alles an, was rein theoretisch gefährlich sein könnte. Die Entscheidung, was du mit diesen Infos machst, liegt ja bei dir. Das Programm setzt freilich voraus, dass sich der User über die Meldungen informiert (was du ja auch getan hast) und gehört IMO nicht in Kinderhände.