Hallo,

mein Dad verwendet die Software der Volksbank, VR-Networld in der neuesten Version. Ein Mitarbeiter der Volksbank hatte das Programm auf dem Rechner installiert und dabei die database als Datensicherung in ein Tempverzeichnis kopiert. Leider schleicht sich immer wieder der Worm Netsky@D auf sein Win 98 SE System. Antivir hat den Schädling gelöscht und ich habe Stinger, die Tools von Bitdefender, Symantec usw.drüber laufen lassen und nichts wurde gefunden.
Ich gehe also davon aus, dass der Rechner sauber ist.
Ich muß vorwegschicken, wenn der Wurm zugeschlagen hat, ist anschließend die Datenbank defekt und VR läßt sich nicht starten.
Eine Fehlermeldung besagt, das die Datenbanken nicht initialisiert werden können.
Nach Rücksprache mit dem netten Volksbankmensch, habe ich die Daten aus dem Tempverzeichnis in die database von VR-Networld kopiert und siehe da, es funzt.
Für 2 Tage, wieder stürzt der Rechner ab und die Datei ""vrfpe1.mdb" ist mit einer Signatur von Netsky@D verseucht.
Da ich mich nicht so leicht unterkriegen lasse habe ich heute das komplette System neu organisiert und alle erdenklichen Updates für Windows über "Windows Update" aufgespielt. Ad-Aware, spybot, Zonealarm usw. aktuallisiert und laufen lassen.
Der Rechner war pikobello sauber, nix was auf einen Wurm schließen ließ.
Also wieder die Dateien aus der Temp kopiert und, genau VR läuft.
Zur Sicherheit habe ich dann nochmal Antvir laufen lassen und den Rechner neu gestartet.
Wir haben dann 3 Buchungen vorgenommen und waren erstaunt, dass alles glatt lief, bis wir VR beendet haben. Bumms wieder der schwarze Bildschirm und beim Neustart meldete Antivir den Wurm..... :shock:
Datei aus Temp in database und dann ging es wieder.
Jetzt seit Ihr dran, wo kommt der Wurm her. Auf dem Rechner ist er beim Starten von VR nicht. Meiner Meinung nach kann er nur auf dem "Weg" von oder zur "Bank" ein Schlupfloch haben.
Um zahlreiche Antworten wird gebeten. Danke

Gruß

Hallo Ringspringer,

deine Vermutung, dass der Wurm auf dem Weg von oder zur Bank zugeschlagen hat, halte ich für sehr unwahrscheinlich! Der klassische Übertragungsweg vom Netsky ist der EmailVersand! Von daher tippe ich eher mal darauf, dass das System deines Vaters immer noch verseucht ist!

Ich würde mal den AntiVir runterschmeissen und mir eine Testvesion von einem moderneren Virenscanner "besorgen" (z.B. Kaspersky, Bitdefender Norman o.ä. ) Noch Besser ist eine VirenBootCD wie die der c't auf Baissi vom Knoppix und drei verschiedenen Scan Engines!
Der AntiVir hat zwar eine recht gut ScanLeistung (in Anbetracht, dass er kostenlos ist), aber die Technuik des Echtzeit Schutz ist nicht mehr die modernste.
Meine Vermutung ist, dass AntiVir bei Schreibzugriffen die zu schreibende Datei scannt. Das würde auch erklären, warum erst beim Beenden der VR-NetWorld Software der Virenscanner zuschlägt. Erst hier weden die Datenbanken zurück geschrieben.

Gruß

Holger

Ja, da stimem ich Holger durchaus zu. Vor allem: Wie soll ein Banksystem das logischerweise nicht auf Windows basiert deren Würmer verbreiten

Was mir Kopfschmerzen bereitet, ist deine Aussage bezüglich der Windows Updates. W98 / SE ist doch eh schon aus der Wartung, somit ist da nicht sehr viel neues an Sicherheitsupdates zu erwarten. Trotzdem wurden die erst jetzt geladen? Das heisst ja das die Kiste im Prinzip ein offenes Scheunentor war / ist. ICh hoffe mal ihr nutzt nicht auch noch Outlook Express zum Mailen.

Netsky@D wird übrigens gerade ein Jahr alt, das sich dieser Wurm noch aktiv durch das Internet verbreitet ist realtiv unwarscheinlich.
Hier gibt es noch ein paar nette Infos:
http://www.kaspersky.com/de/news?id=3754999

doch Cap, der Wurm und die ganzen Abarten sind noch in Spuren aktiv, sonst hätten wir die Frage hier ja auch nicht mehr

Würmer dieser Art sind wirklich sehr lästig. Antivir ist soweit eigentlich nicht schlecht - aber das Desinfizieren ist nicht die große Stärke des Programms.

ein paar Tipps noch: bitdefender gibt es auch in einer freien Version (wie Ring bereits ganz oben geschrieben hat), das Prog. soll wirklich ganz gut desinfizieren. Vorher unbedingt alle anderen Scanner deinstallieren.
Dann Win98 im abgesicherten Modus starten (F8 beim Booten), auch wenn es länger dauert.
Verzichtet auf den Internet-Explorer und Outlook als E-Mail Programm - gerade bei Windows-Systemen, die offiziell keine Updates mehr erhalten.

Da einige Viren und Würmer erst aktiv werden, wenn der Rechner online geht, kann natürlich schnell der Eindruck entstehen, dass beim Online-Banking Viren eingeschleppt werden. Die Wahrscheinlichkeit geht allerdings gegen 0, dass das was mit der Bank oder der Datenbank (Wortspiel!) zu tun hat.
Natürlich kann die Homebanking-Software selbst infiziert werden, wie jede andere Soft auch. Wenn man diesen Verdacht hat, dann Daten sichern, Rechner 100%ig entwanzen, Homebanking-Software aus vertrauenswürdiger Quelle (Orig. CD) neu installieren, nötige Updates einspielen und Daten rücksichern.

Gruß
Raimund

Danke für Eure Antworten.
Ich habe erst vor kurzen mit meinem Vater über seinen Rechner gesprochen und ihn mir mal angeschaut.
Ich war entsetzt.... Naja, der wurde ja auch nur für FIBU und son Zeugs benutzt und Banking hat er mit Genolite gemacht, da war das alles kein Problem.
Zu den Updates, die sind alle noch auf dem Windows-Server vertreten, zur Not hilft ein Tool von www.wintotal.de da sind die meisten wichtigen 98SE updates als Paket enthalten und IE 6 und outlook werden doch weiter supportet. Da beide Programme nicht benutzt werden eh egal.
Zu Emailempfang, da t-online Kunde, werden alle unbekannten Mails von ihm auf dem Server gelöscht und erst dann die anderen herruntergeladen.
Sollten dann Viren dabei sein, ok, Pech.
Zu Antivir, ich kenne es nicht anders, das dieses Programm erst nach Befall den Virus scannt, werde aber andere Programme mal installieren.
Bis vor kurzem lief Norton Antivirus auf dem System. Da ich dieses Programm die Leistung des Compies sehr einschränkte, habe ich das veraltetete, nicht geupte Prog gekickt.
Soweit so gut, ich verstehe aber immer noch nicht, warum der Datenaustausch auf dem nicht Windowsbanksystem und dem WinComp meines Vaters nicht auf diesem Weg mit einem Wurm belastet werden soll. Ich hatte in meinem Post angeführt, dass ich Bitdefender, symantec und kaspersky-tools laufen hatte. Und nach der "Sitzung" mit VR kam die Meldung eines Wurms. Was ich nicht geschrieben hatte, ich habe den Scan auch laufen gehabt, als ich im Netz war, weil ich weiß das zB. Sober erst aktiv wird wenn man im Netz ist. Soll da was nicht mit rechten Dingen zugehen?
Der Volksbankmensch wehrte diese Variante des Befalls ebenfalls energisch ab..... Was ja nichts heißen muß....

Es ist recht einfach:

Wenn du die Verbindung in das weltumspannende Internet aufbaust, ist u.a. der Weg von dir zur Bank frei. Genauso kann aber auch jeder andere mit Internetzugriff in der Theorie auf deinen Rechner zugreifen. Der Zugriff ist natürlich nicht beliebig, sondern beschränkt sich grundsätzlich auf freigegebene Ressourcen und das was durch Sicherheitslücken zusätzlich ermöglicht wird. Da ja kein direkter Datenaustausch mit der Bank stattfindet, sondern der offene Weg Internet gewählt wird, ist die Infektionsmöglichkeit immer gegeben.

Es gab doch letzens in einer meiner Lieblings-Fersehsendungen (nicht wirklich) mal einen sehr interesanten Test. Es wurd ein Standard Windows System einfach nur per DFÜ Verbindung mit dem Internet verbunden. Es fand kein Programmaufruf statt, kein Browser wurde gestartet, wirklich nichts weiter. Nach weniger als zwei Minuten war der Rechner bereits mit mehr als einem Wurm zu einem ferngesteuerten Zobie geworden. Das war natürlich ein ungeschütztes System, klar, aber damit wird deutlich das es grundsätzlich erstmal egal ist, was man selber tut. Die Verbindung ins Interent an sich bedeutet immer ein gewisses Risiko dem man einen Riegel vorschieben muss.

Ein Virenscanner kann von Natur aus nur eine bereits existierende Verseuchung bereinigen. Ein Virenscanner überprüft Dateien die erstmal auf den Rechner kommen müssen. Letzlich wirk ein Virenscanner immer erst nachher (vereinfacht gesagt), und auch nur auf die Art und Weise auf die er eingestellt ist. Ein AV-Scanner kann auf Dateien reagieren, die geöffnet, gespeichert, verändert oder auch nur in der Voransicht des Dateimanagers sichtbar werden.

Wenn man das System zusätzlich sichern will, hilft dazu eine andere Art Software, die personal Firewall die als Schutzschild zwischen Dateisystem und dem Internet steht. Sie überwacht nicht die Dateien an sich, verbietet oder erlaubt aber den auf dem Rechner laufenden Prozessen oder Programmen per Regel nur bestimtme Arten von Zugriffen und schirmt alles was von aussen komtm erstmal ganz ab.

Sehr sinnvoll sind diese kleinen Helfer auf den älteren 9x Windows System, da dort die Netzwerk Unterstützung nicht sonderlich ausgefeilt ist. Eine Internet-Verbindung ist nichts anderes als eine Netzwerkverbindung. Passt man bei 9x z.B. bei der DFÜ-Netzwerk Einrichtung nicht auf, richtet 9x gerne als weitere Protokoll dafür die Datei- und Drückerfreigabe mit ein. Da keine "besonderen" Bereichtigungen dafür vergeben werden können, ist es sehr einfach möglich, in einer solchen Situation sogar direkt schreibend auf das Dateisystem von aussen zuzugreifen.

Es gibt also viele denkbare Wege, das der betroffene Rechner nun gerade von einem Banksystem, das mit Windows-Würmern selber gar nichts anfangen kann (.exe, was ist das?) und zudem stark überwacht und abgesichert ist, infiziert wird, ist weit hergeholt.

p.s. Wer Zeit und Lust hat, der möge doch bitte meinen Satzbau und die Rechtschreibung korrigieren

Hallo zusammen,

Ich habe eine ganz andere Vermutung. "AntiVir" ist bekannt dafür, dass es überdurchschnittlich viele Fehlalarme ausgibt. Wahrscheinlich ist genau das bei dir passiert. "AntiVir" versucht den vermeintlichen Virus zu entfernen und beschädigt dabei die Datenbank. Das würde auch erklären, dass die anderen Entfernungstools nichts finden!

Der von Raimund angesprochene Virenscanner Bitdefender (Free-Edition) ist jedoch nur ein On-Demand Scanner und überprüft nicht ständig die Dateien beim Zugriff (On-Access). Er kann daher bestenfalls als Zweitscanner genutzt werden. Auf der Internetseite http://www.heise.de/security/d…rsky-keys/ gibt es ganz legal einen Lizenzschlüssel um Kaspersky AV zu nutzen. Den Scanner selber gibt es unter http://www.kaspersky.com/de/downloads?chapter=146440654

Meine Empfehlung:
Nutze lieber einen anderen Scanner. Zuvor würde ich das System mal mit einem Online-Scanner testen. Zum Beispiel von Bitdefender. Mich würde es wundern wenn ein anderer Scanner etwas findet.
Test -> http://www.bitdefender.de/scan/index.html

Eine Beschreibung von Netsky.D findest du auch unter http://www.bsi.bund.de/av/vb/netskyd.htm

Gruß

Da ich privat häufiger im Bekannten- u. Verwandtenkreis mit Wurmbefall zu tun habe (erst letztens hatte ich eine Bagle-Variante z beseitigen, bei der der aktuellste Stinger nix ausrichten konnte u. ich bald daran verzweifelt wäre!!!), habe ich mich entschlossen eine kleine vielleicht auch größere Abhandlung darüber zu schreiben wie ich einen PC auch kostenlos vor den meisten Gefahren aus dem Internet schützen kann.

Dabei möchte auf die Voraussetzungen (sauberer PC), die Vorgehensweise bei der Installation, die "Wartung" (automatisch/manuell) bzw. Überwachung der Aktualität der Programme u. des Betriebssystems, die Abschaltung nicht benötigter Dienste (Win NT/2k/XP), alternativen Programmen zu IE u. Outlook (Express) sowie auf nützliche Zusatzprogramme eingehen.

Welche Programme werde ich behandeln?

Antivirus: AVG 7 Free Edition
Firewall: ZoneAlarm

Alternative zu IE: Firefox 1.0.x
Alternative zu O(E): voraussichtlich Foxmail (o. Thunderbird)

Nützliche Zusatzprogramme:
Spyware: Ad-Aware 1.0x, Spybot 1.x
Spam: Spamihilator
Sonstiges: Stinger, HijackThis, CWSchredder...

Natürlich werde ich auch alternative Programme erwähnen, auf die ich aber nicht näher eingehen werde. Die von mir genannten Programme sind die, die ich persönlich einsetze und mit denen mein PC seit langer Zeit im Prinzip sauber ist. (Bis auf das ein oder andere Cookie, aber dafür ist ja Ad-Aware da!!!)

Hoffe ich habe nix vergessen!

Bei Interesse kann ich meine Abhandlung dann gerne hier ins Forum einstellen.

Gruß
Hylli

@hylli: sehr gut.

Nur bei der Firewall gilt bei mir, alles ausser Zonealarm. Das war vor Jahren auch mal meine erste, die hinterlässt nur leider zu viele Reste im System und ist ausserdem SEHR CPU lastig.

CPU schonend und durchweg gut: Kerio

Hi Captain Frag,

welches war Deine letzte ZA-Version die Du getestet hast u. mit was für einer CPU?

Ich nutze seit denke ich 2 Jahren die jeweils aktuellste deutsche Version von ZA und kann eigentlich nicht klagen. Ich habe derzeit einen Athlon XP 2000+ im Einsatz und habe null Performance-Probleme.

Als Beispiel:
Mir fällt es manchmal ein ein speicherlastiges OpenGL-Game zu spielen (Skichallenge Kitzbühel/Bormio), nebenbei noch meine TV-Karte laufen zu lassen... Ich hatte dabei noch nie einen Absturz!!! (Was ich glaube ich seit 2k/XP sowieso nur ganz selten hatte!!!)

Von früher her, als ich noch einen PIII 500 hatte u. ZA in Version 4 o.ä. vorlag, kann ich Dir natürlich zustimmen, damals war es sehr CPU-lastig und auch unausgereift!

Damals habe ich auf die kostenlose Firewall Outpost von Agnitum geschworen, die fand ich nicht schlecht!

Welche Kerio-Version setzt Du ein? Noch die uralte 2.15 oder doch eine aktuelle 4.x Version? Kerio u. Sygate scheinen mir die Firewalls mit den meisten Einstellungsmöglichkeiten zu sein, jedoch möchte ich mit meiner Anleitung hauptsächlich User ansprechen, die sich noch Würmer einfangen, also eher DAUs!!! ZA hat denke ich was Anfänger angeht die Nase vorn!


Gruß
Hylli

find ich gut!

hm: Laut nachgedacht: das wäre wieder was für ein Wiki?!?

Was meinst du Cap?

Gruß
Raimund

Weiß nicht, ob die Abhandlung für ein WIKI nicht zu groß werden wird?!? Man müsste es dann höchstens in verschiedene Teilbereiche gliedern.

Hylli :roll:

Irgendwo hatten wir sogar mal eine Sammlung empfehlenswerter Freeware Programme zum Schutz des Rechners.

Die Sache mit der CPU Last tritt bei ZA und auch bei einigen anderen Firewalls auf, wen man sie mal richtig belastet. Sagen wir mal ab 500 gleichzeitigen offenen Verbindungen. Das ist kein Alltagsfall, ok. Das dabei die die Firewall aber auf 99% CPU Last springt und die Verbindung dann lahmlegt ist weniger schön. Der Task scheint aber niedrig priorisiert zu sein, normal weiterarbeiten kann man nämlich, lediglich die Verbindung ist Matsch. Kerio ist davon unbeeindruckt und filter brav weiter....
Irgendwie ist die Basis der Software besser, hat keine Problem mit weiter gestörten Verbindungen nach einer Deinstallation und ist insgesamt übersichtlicher (Geschmackssache, klar).
Daher meine Empfehlung lieber Kerio als ZA.

Kannst Du mir mal erklären, wie ich das als normalsterblicher PC-Anwender zustandebringen kann? ops:

Vielleicht missverstehe ich Dich jetzt auch, aber ich als gezwungener ISDN-Anwender, nutze mehr oder weniger maximal 3-4 Browserfenster-/tabs (da Firefox), mein Mailprogramm + evtl. Spamprogramm sowie vielleicht noch 2-3 weitere Programme die gleichzeitig Onlinezugriff benötigen.

Hylli

tauschbörsen...

...na sowas würde ich ja niiiiieeee nutzen!!!

Naja, aber 500 offene Verbindungen als ISDN-Nutzer sind trotz Filesharing eher unwahrscheinlich!!!

Außerdem hat sich Captain Frag auch noch nicht dazu geäußert welches seine letzte getestete Version von ZA war!!! Wer weiß wie die aktuelle Version mit einer Masse offener Verbindungen umgeht bzw. umzugehen weiß.

Hylli

Insbesondere Bittorrent ist sehr anspruchsvoll was die Menge der gleichzeitig offenen Verbindungen angeht.
Dabei krachen auch gerne die billigen DSL Router zusammen, weil entweder die NAT Tabelle überläuft oder der CPU der Dampf ausgeht.

Bittorent ist durchaus auch für normalen Softwarevertrieb in Gebrauch...

Die letzte Version der von mir eingesetzten ZA Version muss ich dir auf Dauer schuldig bleiben, ist schon ne Weile her.

...nutze es aber nicht!

Da Du mir die letzte von Dir getestete ZA-Version nicht nennen
kannst, kannst Du natürlich auch nicht unbedingt sagen, ob und wie die
aktuelle(n) Version(en) von ZA mit vielen offenen Verbindungen
umgeht/umgehen! (Lasse mich aber gerne anhand eines aktuellen Tests von PFs eines besseren belehren!)

Ich weiß nicht inwiefern die Versionangaben von ZoneAlarm englisch u.
deutsch maßgeblich bzw. aussagekräftig sind.

Fakt ist: Die aktuellste engl. Version hat eine Versionsbezeichnung
5.5.0.62, die deutsche 5.1.0.39. Fakt ist auch, dass die deutsche Version
in früheren Versionen (3.x/4.x) relativ zeitnah nach der englischen Version
zur Verfügung gestellt wurden!

Rein von der Bezeichnung her gesehen und auch was den
"Auslieferungsrhythmus" der deutschen Version angeht würde ich behaupten, dass die deutsche Version erst auf Herz u. Nieren getestet wird bis sie der breiten Öffentlichkeit zur Verfügung gestellt wird. Dazu zähle ich
auch Tests hinsichtlich vieler offener Verbindungen. Von daher denke ich,
dass die Firewall (zumindest deutsche Version) mittlerweile ausgereifter
ist wie früher.

Ist aber nur meine persönliche Meinung u. kann von mir derzeit auch nicht
bewiesen werden!

Naja, aber eigentlich egal. Ich werde meine Anleitung mal auf Basis ZA
verfassen, die Anleitung lässt sich dann durchaus anpassen bzw. ergänzen.
Nutzen werde ich hierzu übrigens OpenOffice!

Hylli

Genau, bastel mal die Anleitung.
ZA oder irgendeine andere PFW ist hoffentlich immer noch besser als gar nix...

Wobei der CCC da anderer Meinung ist

http://copton.net/vortraege/pfw/index.html

Wirklich sicher ist nur die Hardware-Firewall von Knippex ^^

...ist aber schon'ne Weile her!!!

Mir ist es auch durchaus bewusst, dass die PFs nicht das gelbe vom Ei sind u. lediglich die Schwächen von MS ausbügeln möchten.

Es ist richtig, dass im Prinzip das Deaktivierenn nicht benötigter Dienste ausreichen sollte u. eine PF dadurch hinfällig wäre, auch das das Aufspielen einer PF die Gefahr bergen kann, dass eine neue Lücke aufgestoßen wird!

Umgekehrt muss man mit Sicherheit aber auch sagen, dass das Aufspielen neuer (anderer) Software ebenfalls die Gefahr birgt, dass einer der deaktivierten, "gefahrbringenden" Dienste wieder aktiviert wird!

Dann denke ich macht die PF vielleicht wieder Sinn!!!

Außerdem hört sich "Firewall" nach etwas wichtigem an und ich denke ein Computer-DAU fühlt sich sicherer wenn er sowas auf seinem PC hat!

Hylli