[HaBo]

EasyFrag

Anzeige

Hallo liebe Community,

habe mir letzte Woche den Wurm W32/Ramnit.C gefangen. Wer ihn nicht kennt, er schreibt Einträge in sämtliche .html und .exe Dateien. Mein Avira kriegt sich fast nicht mehr ein und meldet im Sekundentakt neue Funde. Habe schon an die 5000!^^ Das Problem ist, dass der Wurm fleißig weiterschreibt und der eigentliche Wurm nicht gefunden wird, sondern nur die infizierten Dateien. Wollte zu dem Zweck mein Avira updaten, jedoch wird das Update abgebrochen, da keine Verbindung zum Server herstellbar ist.

Die Daten von Avira:
Suchengine V8.02.04, 15.01.2011
Virendefinitionsdatei V7.11.01.117, 13.01.2011

Fehlerprotokol des Updates:
Avira AntiVir Personal - Free Antivirus Updater
Vollständiges Produktupdate

Erstellungszeitpunkt: Sat Mar 12 17:37:57 2011
Produktinformationen:
Produktversion: 10.0.0.611
Updater: C:\Programme\Avira\AntiVir Desktop\update.exe 10.0.0.35
Updaterresource: C:\Programme\Avira\AntiVir Desktop\updaterc.dll 10.0.9.0
Bibliothek: C:\Programme\Avira\AntiVir Desktop\update.dll 0.1.0.44
Plugin: C:\Programme\Avira\AntiVir Desktop\updext.dll 10.0.0.8
GUI: C:\Programme\Avira\AntiVir Desktop\updgui.dll 10.0.2.0

Temporäres Verzeichnis: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\UPDATE\
Backupverzeichnis: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\BACKUP\
Installationsverzeichnis: C:\Programme\Avira\AntiVir Desktop\
Updaterverzeichnis: C:\Programme\Avira\AntiVir Desktop\
AppData Verzeichnis: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\

Proxyeinstellungen:
Verwende Systemeinstellungen

17:38:03 [UPD] [INFO] Prüfe ob neuere Dateien zur Verfügung stehen.
17:38:03 [UPD] [INFO] Wähle Updateserver 'http://175.150.191.39/update'.
17:38:03 [UPD] [INFO] Herunterladen von 'http://175.150.191.39/update/idx/master.idx' nach 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'.
17:38:32 [UPDLIB] [ERROR] Downloadmanager: Die Funktion WinINet::HttpSendRequest() 'http://175.150.191.39/update/idx/master.idx' ist fehlgeschlagen. Fehler: The server returned an invalid or unrecognized response
17:38:32 [UPD] [INFO] Wähle Updateserver 'http://85.239.180.42/update'.
17:38:32 [UPD] [INFO] Herunterladen von 'http://85.239.180.42/update/idx/master.idx' nach 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'.
17:38:38 [UPDLIB] [ERROR] Downloadmanager: Die Funktion WinINet::HttpSendRequest() 'http://85.239.180.42/update/idx/master.idx' ist fehlgeschlagen. Fehler: The server returned an invalid or unrecognized response
17:38:38 [UPD] [INFO] Wähle Updateserver 'http://243.18.138.14/update'.
17:38:38 [UPD] [INFO] Herunterladen von 'http://243.18.138.14/update/idx/master.idx' nach 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'.
17:38:40 [UPDLIB] [ERROR] Downloadmanager: Die Funktion WinINet::HttpSendRequest() 'http://243.18.138.14/update/idx/master.idx' ist fehlgeschlagen. Fehler: The server returned an invalid or unrecognized response
17:38:40 [UPDLIB] [ERROR] Keine weiteren Server vorhanden, das Update wird abgebrochen.
17:38:40 [UPD] [ERROR] Erzeugen der Updatestruktur ist fehlgeschlagen. Die UpdateLib liefert den Fehler 537.


Zusammenfassung:
****************
0 Dateien heruntergeladen
0 Dateien installiert

Sat Mar 12 17:38:40 2011
Das Update ist fehlgeschlagen!

Drehe langsam an Rat, da ich kein Spiel mehr zocken kann (außer Siedler 2, ein geiles Spiel), da alle Exen in der Quarantäne chillen!
Weiß jemand wie ich diesen Wurm wieder los werde bzw. was allgemein zu tun ist?

Gruß und Danke im vorraus,
Easy Frag

Kuttengeier

Hi,

sobald ein Virus/Wurm/Trojaner/Schadssoftware auf deinem System gefunden wurde ist es meiner Meinung nach Zeit es neu zu installieren. Denn egal was du unternehmen wirst, du kannst nie sicher sein, dass die Schadsoftware vollständig von deinem Computer gelöscht wird.
Besonders vorsichtig musst du sein, wenn du unteranderem noch online Banking oder ähnlich sensible Programme auf deinem PC ausführst.

Gut, wenn du frühzeitig ein Systembackup gemacht hast, das du nun einfach wieder zurückspielen kannst.

Alternativ kannst du versuchen dein System mit einer LiveCD einiger bekannter Antivirensoftwarehersteller zu reinigen. Dabei besteht jedoch auch keine 100%ige Sicherheit dein System wieder Virenfei zu bekommen.

Grüße
Kuttengeier

__________________

q23p

Ich schließe mich da meinem Vorredner an, bei so einem hartnäckigen Virus hilft eigentlich nur die komplette Liquidation der auf der Festplatte befindlichen Daten, wobei du natürlich die Daten die dir wichtig sind, vorrausgesetzt es sind keine ausführbaren Dateien wie .exe und bei dem Wurm .html, versteht sich, retten kannst.

EasyFrag

Dh. die befallenen Daten sind unrettbar? Das wäre vorallem was die Spiele betrifft ein Schaden im 4 stelligen Bereich!!! Schwer das einfach hinzunehmen. Wo bekomme ich eine Live CD her? Was meinst du mit Backup? Vermutlich nicht die Windowssystemwiederhestellung oder reicht es das System auf einen Stand von vor 2 Wochen zurückzusetzen! Habe außerdem eine angeschlossene externe Festplatte, die war allerdings die letzten 2 Wochen net mehr an, also vermutlich noch unverseucht. Da der Wurm .doc, .dll,.html und .exe befällt ist da nicht viel zu retten. Besitze auch viele wichtige Word-Dokumente, die sind jetzt hin? Im Falle der Beseitigung des Wurms sind dennoch meine Dateien futsch, wo kriege ich also die exen wieder her??? (kurz vorm Nervenzusammenbruch)

Gruß Easy Frag

Kuttengeier

Hi,

ich meinte soetwas wie ein Image der Festplatte, dass du zurücksichern und so den Zustand deines Systems zum Zeitpunkt der Imageerstellung wiederherstellen kannst.

Du bist der erste, von dem ich höre, dass ein Spieleschaden im vierstelligen Bereich liegt :-) Wenn diese Spiele so teuer waren, dann hast du doch bestimmt ein Installationsmedium, von dem du diese erneut auf deinen Computer spielen kannst, oder? Steam -> erneut herrunterladen. Oder hast du vielleicht mehr als 999 Spiele? :-)

Du kannst natürlich auch versuchen dein System mit einer Antivirensoftware zu reinigen. Die Neuinstallation war nur ein Vorschlag, den ich für am sinnigsten halte in deiner gegenwärtigen Situation. Was du im Endeffekt machst bleibt ja dir überlassen.

Grundsätzlich und theoretisch muss man sagen, dass alle Dateien, die sich in oder an einem infizierten System befinden als infiziert zu betrachten sind.

In der Praxis kommt es immer darauf an, wieviel Aufwand man bereit ist zu treiben.
Wenn du dein System einmal richtig frisch aufsetzt hast du nach zwei oder drei Tagen Ruhe und alle Konfigurationen und Installationen vorgenommen. Wenn du einen Virenscanner verwendest, dauert allein das Scannen schonmal lange. Dann findet er unter Umständen nicht alles und du hast nach einem erneuten hochfahren das selbe Problem (z.B. Einträge in der Reg. die nicht gefunden werden). Und was machst du nun? Doch wieder ne Neuinstallation.
Lange Rede, kurzer Sinn: Besser gleich einmal ins Klo greifen, dann hast du Ruhe!

Ich denke deine wichtigsten Dokumente solltest du von der Festplatte wiederherstellen, wenn möglich. Ansonsten mit LiveCD auf externer Festplatte nach Viren scannen.

Bei Virenscannern hast du nie 100%ige Sicherheit, dass alles gefunden wurde!

.:Nachtrag:.

Eine Systemwiederherstellung mit Windows Boardmitteln wird keinen Sinn machen, da alle Userdaten unangetastet bleiben und auch nicht alle Systemdaten wiederherstellt werden. Ein großer Teil deines Systems bleibt also im infizierten Zustand.

Grüsserle,
Kuttengeier

__________________

EasyFrag

Sind schon viele! Spiele und die meisten runtergeladen, legal versteht sich. Und das ist platzmäßig zu groß für meine externe Festplatte, deshalb habe ich nur ein paar Spiele und wichtige Dinge dort gespeichert, aber ein komplettes Abbild meiner Festplatten habe ich nirgendwo gespeichert. Das Virenscaner nicht 100% sicher sind ist mir schon klar, aber ich benurtze auch Kondome...
Wäre mir sehr wichtig erstmal nicht zu flatten und rebuilden. Hat jemand ne spezielle Idee auch wegen Avira und dem nicht funktionierendem Update? Der Wurm ist ja bekannt, kann ihn jedoch nicht finden.
Anbei auch mal mein Logfile. Für Ideen, Tipps und Ratschläge aller Art sind gerne gesehen!
Gruß Easy Frag

Ps: Unter dem Logfile kommt noch was...

Habe http://http://forums.majorgeeks.com/...=223538&page=2 noch eine interessante Anleitung gefunden und mir diese auch zu Gemüte geführt, jedoch funktioniert die Seite http://www.eset.com/onlinescan/ nicht mehr. Kann da wer helfen und was ist von der Anleitung zu halten?

Apfelkuchen

Die Downloadplattformen, die ich kenne, bieten die Möglichkeit, zuvor erworbene Spiele erneut herunterzuladen...

lightsaver

Log-Auswertung im Sammelthread. Damit sollte dann auch das Update von Avira wieder gehen.

Ansonsten kann ich mich aber auch nur den Vorrednern anschließen

Scutus

eventuell auch gleich mal nach rootkits in der bios-umgebung scannen...nicht, dass da was anbrennt

EasyFrag

Welche Empfehlungen hättest du diesbezüglich für mich?

Die Idee mit der Live CD lässt mich nicht los... Das ganze wird vor dem Bootvorgang gemacht oder im abgesicherten Modus?

Angenommen ich kriege den Ereger allen übels, sind dann die befallenen Dateien noch zu retten auch wenn das bedeutet mit der Hand die schadhaften Einträge zu löschen? Kennt sich jemand mit dem W32/Ramnit.C besser aus? Soweit ich das verstanden habe schreibt nur die mgr.exe die Einträge.

Hat sich jemand mal den englisch sprachigen Forumsbeitrag aus meinem letzten Post angesehen? Meinungen dazu?

Gruß Easy Frag

Scutus

hier findest du normale Rootkit-Scanner - diese finden aber eher keine Rootkits im Bios - da hilft nur das neu zu flashen - am besten über eine Live-CD. Aber es dürfte unwahrscheinlich sein, dass du dir sowas eingefangen hast, da der Angreifer ja ganz offensichtlich nicht unbemerkt bleiben wollte

Live-CDs sind einfach Betriebssysteme, die von der CD gestartet werden, anstatt von der Festplatte. Dafür musst du eventuell im Bios deine Boot-"Suche" umstellen, sodass zuerst in dein Laufwerk geschaut wird, ob dort ein Betriebssystem liegt...Diese wäre hier zu nennen, oder eine andere, die extra zum Virenscan ausgelegt sind.

Natürlich ist es aber sinnvoller die Festplatte komplett zu bereinigen...

rat

Also,als erstes schmeist du mal den scheiß Avira runter der kann in der Free Edition mal garnix,die Kaufversion ist besser aber auch nicht der Hammer.

Dann lad dir mal Panda Cloud und Threatfire runter,ist kein Super Schutz aber alle mal besser als der Avira.

Um die Malware zu entfernen schlage ich dir mal Knoppicillin in der Aktuellen Version vor,da hast du 3 AVs zum Scannen wen er nicht schon von Panda oder Threatfire gefunden wird.

Bei der Malware gehe ich mal davon aus das es sich um einen Downloader handelt und dieser dir immer neue Malware ins System läd.

Diese Pay-Per-Install oder Pay-Per-Load Dienste sind im Underground sehr sehr beliebt.Dazu wird einfach eine Malware wie z.b der Elite Loader,Dream Loader,Dloader,zLoader usw auf dein System Installiert.

Hier mal Screen vom MyLoader




Und dann auf Seiten wie jetzt Down http://goldencashworld.biz zum Verkauf angeboten.Da kann dann jeder gegen einen bestimmten Preis seine Malware auf 1k Rechner Installieren lassen.Oder auch 1k Infizierte Pcs an solche Leute verkaufen,sie Kaufen und verkaufen.

Aus Rechtlichen Gründen Poste ich nicht die URL von einer Seite die noch Online ist.

__________________

luis2luis2

ich hatte das selbe problem ich hatte aber ramnit a
mir hat ein video auf youtube sehr geholfen

http://www.youtube.com/watch?v=srpbDcHZGss

bin mir zwar nicht zu 100 % sicher das er ganz weg ist aber ein versuch ist es wert
und der viren scanner schlägt auch nicht mehr aus

ich hoffe das hilft ein par leuten

p.s hab ich extra registriert weill der virus mich so aufgeregt hat und ich anderen helfen wollte ih lus zu werden