AOL - katastrophale Viren- u. Würmerattacken

[Gast]

Ich war gerade einige Stunden am PC eines Bekannten und sollte doch nur die Aufgabe lösen, den DSL-Anschluss für AOL-Zugang einzurichten.

Was jedoch mit dem Computer los war, das glaubt mir kein Mensch und wirft mir im Nachhinein echt Fragen auf:

Es befanden sich insgesamt über 2.000 Dateien mit Viren, Würmern, Trojaner Spyware auf dem recht neuen Computer!

Installiert war "Windows XP SP1" und ist monatelang unter ISDN ohne jegliche Firewall, ohne Antivirensoftware und ohne Anti-Spyware gelaufen!

Das ist ja, wie wenn nachts eine Frau nackt durch Chikagos Elendsviertel laufen würde! Der Computer war offen, wie ein Scheunentor!

Nachdem im abgesicherten Modus sämtliche Viren und Würmer nacheinander mit verschiedenen neuen Scannern beseitigt wurden und alle befallenen Archivdateien gelöscht wurden, wurde erst einmal Service-Pack 2 installiert, DSL neu eingerichtet
und unter AOL wurde updatet.

Nun kommt der Hammer! Jedes Mal, wenn man auch nur wenige Minuten
in AOL eingewählt war, waren sofort alle Cache-Verzeichnisse vom IE und Temp-Verzeichnisse voll von Würmern, Viren und Spyware!

Es ist ja fürchterlich! Die Windows-Firewall ist zwar aktiviert, aber automatische Updates können nicht aktiviert werden, der externe Virenscanner kann nicht als selbst kontrolliert angenmeldet werden.

Ad-Aware findet selbst nach kürzestem Internetzugang über 360x Malware, AntiVir findet im IE-Unter-Verzeichnis und System32 und in cab-dateien massenhaft Trojaner, Würmer und Viren.

Diese werden beseitigt und genau nach neuem Internetzugang ist das wieder so!

Auf meinem PC zu Hause habe ich das absolut nicht!

Hängt das bei dem Bekannten mit AOL und DSL zusammen?

Das ist ja heftig! Wie soll man mit dem Rechner überhaupt noch ins Internet?!
Nach einem Scan im abgesicherten Modus und Neustart finden die Scanner nichts! Windows-Firewall aktiv, Virenwächter aktiv.
Kaum wird eine AOL-Verbindungaufgebaut, klingelt der residente Virenscanner ohne Ende und meldet neue Funde.

Wo kommen denn die Viren beim Internetzugang her, ohne etwas herunterzuladen, während die AOL-Seite steht?
Wi
eso ist das auf dem Rechner so heftig, während auf meinem Rechner
das so gut wie gar nicht vorkommt?

Was kann man denn tun?

[Falk]

Hallo


ich will es mal so ausdrücken:
bei einem system wie diesem liegt es auf der hand was da zu machen ist.
datensicherung und das teil plätten aber richtig.
grund: da steckt dermaßen der wurm drinn, man bekommt es nicht mehr unter kontrolle.

ergo: eine neuinstallation in folgender reihenfolge.

--verbindung mit dem internet physikalisch kappen
-- xp installieren
--sp2(von cd) hinterher (schon wegen der firewall)
--virenscanner drauf (wenn möglich die neuste virendefinition mit einem anderen rechner downloaden und dann einspielen)
--image erstellen(wenn möglich, aber sehr zu empfehlen)
--kabel wieder rein
--aol (brechreitz) installieren, wenn möglich dort alle sicherheitsvorkehrungen dort treffen
-- xp updaten
--spywarscanner ala "spybot search&destroy" drauf und updaten und damit das system abdichten
--"spywareblaster" hinterher und updaten (der sperrt im ie gefährliche internetseiten).
--nach einer gründlichen systemüberprüfung
-- nächstes image erstellen.


@hans

habe ich was vergessen?


gruß falk

_________________
Jede Software die läuft, ist veraltet.

http://picasaweb.google.de/F.Leutloff/XAlbum

[Gast]

Hallo,
Ich würde es nicht wesentlich anders machen. Spybot hat aber doch den Schutz, den du mit Spywareblaster erreichen willst auch schon integriert, ich habe deshalb dieses Programm noch gar nicht versucht.
Eine grundsätzliche Empfehlung meinerseits wäre aber, die Installation nd Einrichtung nicht an einem DFÜ-Zugang vorzunehmen. Besser ist es, das ganze in einem geschützten Netzwerk zu realisieren, also in einer Umgebung, wo der Internetzugang über einen Router läuft, vielleicht kann man da auch erst mal AOL vermeiden, wobei ich mir nicht vorstellen kann, dass dieses Problem nur an AOL liegt. Und dann würde ich mal einen anderen Virenscanner empfehlen, einen der auch den Datenverkehr überwacht. Ich denke da bei einer kostenlosen Möglichkeit an Avast ( www.avast.com ). Mit diesem habe ich recht gute Erfahrungen gemacht.
Auf jeden Fall ist es mir in einer Installationsumgebung mit Router noch nie gelungen, auch nur einen Virus einzufangen.

[Falk]

hallo hans

spybot und spywareblaster ergänzen sich beide gegenseitig.
wenn man spybot installiert hat, taucht das unter spybot auf, unter den vermerk dieses auch zu benutzen.


gruß falk

_________________
Jede Software die läuft, ist veraltet.

http://picasaweb.google.de/F.Leutloff/XAlbum

[Gast]

Noch eine Ergänzung: Bei der Datensicherung nicht vergessen, dass es Programme gibt, die die Anwenderdaten nicht in den "eigenen Dateien" speichern. Ich denke da besonders an Outlook, Outlook express, Favoritenlisten usw. Es ist immer sehr ärgerlich, wenn es dort Datenverlust gibt. Allerdings ist eine Outlook.pst nach einem Virenbefall nur sehr schwer wiederverwendbar.
Und vor allem die Installation von Programmen erst vornehmen, wenn das System mit aktivierter Firewall, Virenscanner, Spybot, ggf. 190-Warner, sicher und stabil läuft.
Die Empfehlungen einiger Softwareanbieter, den Virenscanner bei der Installation zu deaktivieren, ignoriere ich. Falls bei solchen Installationen der Virenwächter aktiv wird, muss man ein solches Programm auf einem Rechner checken, wo es keine Rolle spielt, oder man sucht sich lieber ein vergleichbares Programm.

[Gast]

Zu dem befallenen PC fehlen jegliche CD-ROM und Unterlagen außer dem
Kaufvertrag von einem Händler, wo alles drin steht - außer den Lizenzen.

Mit AIDA.32 kann ich zwar den Lizenzcode auslesen.
Aber ohne Zertifikat nützt mir das gegenüber Microsoft nichts.
Besser wäre sicherlich, wenn ich die vorhandene Aktivierung sichern könnte
Um Windows neu zu installieren muss ich aus meinem CD-Archiv eine
Installations-CD nehmen und brauche den Code oder eine rückgesicherte Aktivierung.
Ich habe sowohl WinXP mit SP1 und WinXP mit SP2 vorrätig.
Nun habe ich leider vergebens auf der Knowledge Base von Microsoft unter den mir einfallenden möglichen Titeln geucht, ob es eine Möglichkeit der Rücksicherung der alten Aktivierung gibt.
Und vor allem, ob diese trotz der Probleme virenfrei werden würde!

Also: Wenn man vom laufenden System die Aktivierung rücksichern kann, wie kann ich da vorgehen?

Kann ich gleich die neuere SP2-CDROM nehmen und mit dem ausgelesenen Code lizenzieren, oder bin ich genötigt, SP1 zu installieren und mit der SP2-Update-CD auf SP2 zu komplettieren?
(Wird der Code, den man mit AIDA32 auslesen kann überhaupt genommen? Bei meinem eigenen PC steht da auch etwas Anderes drin, als auf der Lizenzurkunde, obwohl der ursprünglich eingegeben wurde).

[stirlitz]

Hi

[Gast]

Was für eine CD verwendet wird, hängt vom Produktschlüssel ab, denn diese müssen zueinander passen. In jede vorhandene Installations-CD lässt sich das SP2 integrieren. Dafür gibt es genügend Anleitungen (auch von MS).
Ob man eine CD ohne SP oder mit SP2 (SP2 enthält alle Patches von SP1) verwendet ist im Prinzip egal, ein integriertes SP2 verkürzt lediglich die erforderliche Zeit. Als wichtig erachte ich, dass mindestens das SP2 und ein Virenscanner installiert sind, bevor der Computer überhaupt das Internet zum ersten Mal zu sehen bekommt.

[Falk]

Hallo

"Zu dem befallenen PC fehlen jegliche CD-ROM und Unterlagen außer dem
Kaufvertrag von einem Händler, wo alles drin steht - außer den Lizenzen."


der ist nicht zufällig als aufkleber an der rückseite des rechners angebracht?



gruß falk

_________________
Jede Software die läuft, ist veraltet.

http://picasaweb.google.de/F.Leutloff/XAlbum

[Falk]

Hallo


habe hier noch einen downloadlink für ein programm das aus einer xp-cd
eine xp-cd mit integrierten sp2 macht.

http://www.loresoft.de/download.php?URL=http://www.loresoft.de/downloads/products/SPI-Service_Pack_Integration.exe


gruß falk

_________________
Jede Software die läuft, ist veraltet.

http://picasaweb.google.de/F.Leutloff/XAlbum

[Gast]

Ich fand in dem angegebenen Link u.a. den folgenden Text:


"Wer sein Windows XP einmal bei Microsoft registriert hat, braucht auch nach einer kompletten Neuinstallation auf dem gleichen Rechner den Registrierungsvorgang nicht zu wiederholen. Ist das Betriebssystem einmal registriert, muss lediglich eine Kopie der Datei 'wpa.dbl' im Verzeichnis C:\WINDOWS\system32 gesichert werden; am besten auf einer Diskette oder anderen Partition. Nach einer Neuinstallation Ihres Betriebssystems auf dem selben Rechner können Sie den zuvor registrierten Zustand von XP durch Kopieren der Datei wpa.dbl in das System32-Verzeichnis wieder herstellen."

Dieses Verfahren ist mir nicht neu und funtionierte auf meinem PC erfahrungsgemäß nicht.

Ich hatte mal die < wpa.dbl > auf Diskette gesichert und irgendwann
war meine Festplatte auszutauschen und Windows XP SP2 neu zu installieren.

Trotz Überschreiben den neuen wpa.dbl mit der Gesicherten verlangte das Windows nach einer Aktivierung.

Also ist das nicht der richtige Weg.


Und noch etwas: Ich muss meine Zeit beim nächten Versuch planen können. Das bedeutet: ich muss 100% genau wissen, dass die auslesbare Lizenznummer auch paßt und vom Windows-Setup akzeptiert wird!!!
Sonst ist kein System drauf und ich muss regelrecht Achten laufen und anderweitig Lösungen suchen. Denn warum soll der arme User noch einmal 149,-- EUR für eine neue Windows-OEM-Version ausgeben, wo er doch als Anfänger vom Händler tatsächlich gelinkt wurde, indem er weder eine Installatons- noch eine Recovery-CD erhielt?!

Ich sage das deshalb, weil ich auf den Rat des Microsoft-Supportes einmal
auch auf meinem Rechner Aida32 gestartet und meine Lizenznummer (die Buchstaben-Zahlen-Kette) ausgelesen habe und diese nicht mit der übereinstimmt, die ich bei der Installation eingegeben habe!!!


Hat Jemand eine Idee dazu?









[/i]

[stirlitz]

Hi

[Falk]

hallo

"Denn warum soll der arme User noch einmal 149,-- EUR für eine neue Windows-OEM-Version ausgeben, wo er doch als Anfänger vom Händler tatsächlich gelinkt wurde, indem er weder eine Installatons- noch eine Recovery-CD erhielt?!"


der sogenannte arme user hätte ja in den AGBs lesen können.

wenn das BS so ausgeliefert wird ist das BS auf einer andere oder der systempartition in einem ordner xyz vorhanden um es entweder zu brennen oder von dort mit hilfe eines tools direkt zu installieren.
desweiteren bieten die händler auch an, gegen einenkleinen geldbetrag, das bs auf eine cd zu brennen.

macht man das nicht, kann es schon passieren das man da ausversehen
den ordner mal löscht, nach dem motto: "was ist denn das für ein platzverschwender"

kann ja sein das man mit dem kaufbeleg da noch etwas beim händler erreicht, sei es auf die freundliche art, oder mit ein wenig nachdruck.


gruß falk

_________________
Jede Software die läuft, ist veraltet.

http://picasaweb.google.de/F.Leutloff/XAlbum

[Gast]

Hallo Falk,
zunächst mal: den Aufkleber gibt es nicht, sonst wäre es ja auch kein Thema.

Zweitens, ich habe festgestellt, daß es den Händler "ProMarkt" in den Gegend nicht mehr gibt. Ich bekam heraus, daß die das verbrochen haben. Es war aus einem Restposten von "Gericom" (kein Kommentar!)

Drittens kenne ich es so, daß die Sicherung der Festplatteneinrichtung sich bei den meisten Computern auf einer versteckten Partition befinden.
So habe ich auch Notebooks gehabt, die bei Starten die Option für die Wiederherstellung des Werkszustandes anbieten und unter Windows unte Verwaltung tatsächlich kein weiterer Platz auf der festplatte verfügbar ist.
Wie man das gemacht hat, weiß ich nicht.

Vielleicht ist es das gleiche Prinzip, wie früher bei den Compaq-Rechnern mit dem BIOS-Setup von Diskette und der Compaq-Diags-Partition anstelle dieser, auf die man auch nicht vom Betriebssystem aus zugreifen konnte.
Nur daß man da eben bei Compaq auf einen Cursor am oberen rechten Bildrand achten mußte und dann F10 drückte und bei dem Notebook war es F2 (nicht BIOS-Setup! Da kam man mit F1 rein).

Bei diesem PC trifft es nicht zu.

Sollte es jedoch so sein, daß die unter AIDA32 ausgelesene Lizenz nicht angenommen wird, müßte ich ja eine andere funktionierende Lizenznummer nehmen und danach die gültige irgendwo manuell eintragen.

Weiß Jemand, wo man die in der Registry einträgt?
AIDA kann die ja auslesen.
Bei meinem PC gab es - wie ich herausfand einen Lizenzwechsel durch MIcrosoft.
Daher stimmte die Lizenznummer nicht mit dem Zertifikat überein.

Aber ich weiß, daß man auch früher schon unter Win9x/ME irgendwo unter Owner etwas ändern konnte.


Es würde nach einer Neuinstallation mit allen notwendigen Anwenderprogrammen, Updates und endgültigen Einstellungen sicherlich Sinn machen, mit PQDI 7 (Ghost habe ich nicht) ein Image zu ziehen.

Als Zweitsystem kommt Linux drauf, weil man im Notfall damit die Dokumente von einer nicht startbaren Windows-Partition herunterkopieren kann.


Mein Vorgehen ist so geplant - bitte mal prüfen, ob so ok und so
weiterzuempfehlen:

1. Abgesicherten Modus starten und Viren/Trojaner/Würmer/Spyware
mit den empfohlenen verschiedenen Scannern beseitigen lassen.
Stinger nehme ich auch, Spybot, Ad-Aware, AntiVir, AvAst, HijJackThis

2. AIDA32 starten und Reportdatei auf Speicherkarte ablegen
und wpa.dbl sichern

3. Linux auf der zweiten Festplatte (20GB) als Minimalvariante
(und GRUB startet von Diskette) installieren
und alle Dokumente von den Windows-Partitionen herunterkopieren auf
ein Linux-Verzeichnis, damit eventuell darin enthaltene "Virenzieher"
bei der Installation nicht von Windows gesehen werden.
Unter Linux die Dokumente auf Viren scannen.

4. Neustart von Windows-Installations-CD und Formatieren von LW C:\ als
ntfs und D:\ als Fat32 (aufpassen! Die Dokumente sind auf Linux und
müssen zurückkopiert werden können! deshalb FAT32)
Wenn Lizenz paßt, nach Installation aller Treiber und
Anwendungssoftware (außer Internet) im abgesicherten Modus starten
und wpa.dbl überkopieren und neu starten.

5. SP2 installieren

6. Alle Updates, die mit einem anderen PC heruntergeladen wurden
von CD nachinstallieren und Firewall, Virenscanner und Ad-Aware
auf neuestem Stand nachinstallieren. Feineinrichtung.

7. Image vm Systemlaufwerk fertigen.

7. Alle Dokumente unter Linux durchsehen und auf Win-Laufwerk D:
zurückkopieren. Die Imagedatei in ein Linux-Verzeichnis
verschieben.

8. Sofort nach dem Start alle Virus-/Wurm- und Spyware-Scanner über
Laufwerk D: durchlaufen lassen.

9 (eigentlich unwichtig ?) Linux komplettieren und alle neuen Updates
und Patches von CD installieren. CrossOver installieren und
die Windows-Softwre "Office" dort reininstallieren, damit
im Schadenfalle unter Linux weitergearbeitet werden kann.

Ist da noch ein Fehler? (bis auf den Fall, wenn die Lizenznummer nicht gerade zu der verwendeten "WinXP SP1" CD paßt?)

[Gast]