PC shutdown-Wurm

Doublespazer

When the clock is hungry it goes back four seconds
Seit geraumer Zeit habe ich den Eindruck übers Netz überwacht zu werden. Neulich startete bei mir ein Fenster mit der Nachricht, mein PC würde in 60 Sekunden runterfahren. Das kenne ich noch noch von W32 Sasser und W32Blast, doch dieser Wurm ist anders. Er läßt sich trotz Service Pack 3 und allen Updates nicht durch den Befehl "shutdown -a" unschädlich machen und meine Antiviren und Antispy-Programme finden ihn nicht. Jetzt hat dieser Überwacher die Möglichkeit meinen PC per distanz auszuschalten, was er jetzt bereits 2. Mal tat, ohne dass das Fenster mit der Nachricht mein PC würde in 60 Sekunden runterfahren erschien.

Wie kann ich direkt zur Quelle des Übels kommen und diesen Hacker ausfindig machen? Gibt es vielleicht ein Programm dafür?

Vielen Dank für jede Antwort.
 
Ich weiß nich welche Programme du schon alle benutzt hast um deinen Rechner zu scannen, aber probiere doch mal "spybot search & destroy". Es macht exakt was der Name vermuten lässt. Ich hab damit vor ner Woche 11 Viecher gekillt nachdem ein Kollege meinen Rechner versehendlich konterminiert hat und AntiVir nichteinmal mehr ansprechbar war.

Vielleicht postese ma ne Liste der Programme/Aktionen die du schon gestartet hast.
 
Erst einmal Danke für eure raschen Antworten, doch möchte ich mal schnell die Frage beantworten, was für Aktionen ich unternommen habe.

. Die neueste Version von Ad-aware durchlaufen lassen. Dieses Programm fand zuerst 129 Wanzen, stürtzte jedoch beim Versuch sie zu löschen ab. Ein weiterer Scan wollte die Wanzen in die ignorer-Liste setzten (sprich dürfen nicht berücksichtig werden -----> hört sich nicht gut an!) und der letztere brachte 0 Ergebnisse. Ad-aware konnte also nicht weiter helfen.

. Kaspersky Anti-Virus (bin Kunde bei Kaspersky seit 3 Jahren) fand 4 Komponente eines Wurms namens "(!) PC shutdown", war aber unfähig die Hauptquelle zu finden oder die in die Quarantäne gesetzten Files zu löschen.

Gruß!
 
Zuletzt bearbeitet:
Zur Not PC platt machen =)
Ist eigentlich immer die beste Lösung wenn man schon nen infizierten PC hat, und fast die einzige Möglickeit um sicher zu gehen dass alles weg ist.
 
Aus diesem Grund habe ich auch eine Partition nur fürs System und meine persönlichen Dateien (Bilder, Musik, Dokumente) "ausgelagert".

Was auch nicht immer etwas bringt. Daten am besten immer noch extern sichern.
Es gibt auch Viren die schrotten dir die Festplatte, da bringt dir eine Partition nichts.


@ Lord Zumpferl

Drück mal alt+ctrl+entf und schau mal was bei dir alles im Hintergrund läuft.
Nutze googel wenn du nicht weißt ob es nützlich ist oder nicht.

Wenn es "böse" ist, gib das in die Suche auf deinem Rechner ein.
Starte den Rechner neu im abgesicherten Modus und lösche die Dateien raus. Danach gehst du auf Ausführen und gibst regedit ein. Dann suchst du wieder nach den Namen die du gelöscht hast und löscht sie auch hier raus.

Informier dich aber genau, schau lieber noch einen 2. oder 3. Eintrag im Netz nach bevor du was falsches löscht. Sicher aber vorher alle Daten extern. Denn wenn zuviel kaputt ist mußt du ihn neu machen.

Und ich glaube nicht das da ein Hacker im Hintergrund sitzt.
Das meiste sind Fakemeldungen. Und es wird eben sowas sein wie dioe alten W32er Viren.

Ach ja, und auf jeden fall Spybot instalieren und drüber laufen lassen.

Viel Glück ;)
 
Die wichtigsten Daten konnte ich bereits auf einer externen Festplatte retten. Normalerweise dürften trojanische Pferde ihr nichts anhaben. Leider kann ich zu Zeit nicht weiteres unternehmen, da ich mich weit weg von meinem PC befinde. Sobald ich wieder Zugriff habe, werde ich eure Ratschläge sofort befolgen und mich wieder melden.

@ Ryloth

Ich befürchte doch, dass ein Hacker dahinter steckt, nur beweisen kann ich es natürlich im momentanen Stand der Dinge nicht. Ich vermute, der PC-Wurm wurde mir über ein Online-Spiel auf die Festplatte gespielt. Wie ich bereits erwähnt habe, wurde mir der Rechner schon zweimal per Distanz einfach ausgeschaltet. Beim online zocken!
 
Also die Variante, die Ryloth dir empfiehlt, würde ich lassen. Je nach verwendeter Soft- und Hardware werden unterschiedlichste Dienste und Dateien gestartet, über die du auch nicht unbedingt einen Eintrag im Netz finden wirst. Da ist es einfacher, den Rechner von vorneherein neu aufzusetzen, was ich dir auch empfehlen würde.

Anschließend solltest du darauf achten, daß du nicht ständig als Administrator arbeitest (ich nehme mal an, du nutzt Windows XP). Bist du als User mit eingeschränkten Rechten unterwegs und klickst nicht bei jeder dubiosen Nachfrage nach einer Programminstallation auf "zulassen", dann kannst du dir die meisten Schädlinge schonmal fernhalten. Immer vorausgesetzt natürlich, du hältst dein Windows auf dem aktuellen Stand und installierst alle ServicePacks und Updates.

Jetzt stellt sich die Frage, wie du in das Netz gehst. Nutzt du eine Fritzbox oder ein anderes DSL-Modem mit integriertem Router? Wenn ja, ist der Zugang zum Modem/Router per Paßwort geschützt? Ist die ggf. integrierte Firewall aktiv? Hier würde in der Netzwerksanzeige auch der Hacker sichtbar sein, wenn es einen gibt.

Als Sicherheitssoftware auf deinem Rechner sollte dann noch zumindest die Firewall (die windowseigene reicht vollkommen aus, wenn sie richtig konfiguriert wurde) aktiv sein, ein aktuelles Antivirenprogramm (welches auch ständig mitlaufen sollte als Guard) und das oben schon empfohlene Spybot Search and Destroy (ebenfalls ständig mitlaufend) aktiv sein. Du solltest dann antürlich schon genau aufpassen, wann du jeweils Aktionen erlaubst und welche Quellen diese Aktionen erfragen.

Mit dieser Konstellation bist du dann gegen Angriffe von Schadsoftware relativ gut gesichert und auch ein Hacker dürfte es schwer haben, sich Zugang zu deinem PC zu verschaffen.

Apropro Zugang zum PC: Wenn du ein WLAN nutzt ist dieses hoffentlich per WPA2 verschlüsselt und mit einem Paßwort gesichert? Sonst brauchst du dich nicht wundern. ;)
 
So habe ich bisher noch jeden Virus gekillt ;)

Aber man sollte nichts löschen, wo man sich nicht sicher ist, das es ein Virus/ Trojaner ist.

Kann einen unter Umstände eine Neuinstallation ersparen.
 
Als Sicherheitssoftware auf deinem Rechner sollte dann noch zumindest ...das oben schon empfohlene Spybot Search and Destroy (ebenfalls ständig mitlaufend) aktiv sein.

Schon lustig, wie dieses Uraltprogramm immer noch beworben und empfohlen wird. :verwirrt:

Vor ein paar Jahren war es das beste, insoweit geb ich dir recht. Aber die Zeit schreitet weiter und heutzutage is S&D hoechstens noch Durchschnitt. Es wurde nie wirklich ueberarbeitet, braucht ewig zum Scannen und findet nicht mal alle aktuellen Schädlinge und ist dazu noch unverschaemt gross. Nicht zu reden von den Abstuerzen des SD Browser Addons....

Also ich würde von S&D abraten, aber jeder wie er will. :D
 
Zuletzt bearbeitet von einem Moderator:
:rolleyes: Also, der Nachmittag war heftig ...

Spybot Search and Destroy legte mir den Rechner so lahm, dass ein online gehen kaum noch möglich war. Außerdem fragte mich dieses Programm ständig ob ich dieses oder sonstiges Vorgehen akzeptiere oder nicht. Sehr, sehr nervig. Habe es kurzerhand wieder gelöscht.

Online Armor benahm sich wie ein Terrorist. Hat kurzerhand mein XFire das Starten verboten, Kaspersky Anti-Virus als Geisel genommen und anschließend Explorer komplet blockiert.

@ Tomm Lucas

Hi,

hatte ehrlich ein wenig Schwierigkeiten mit deinen sehr professionnellen Fachwörtern ... bin doch ein ziemlicher Leihe .
Nein, ich verfüge nicht über WLAN -----> habe nur ein einfaches Motorola-Modem ohne Paßwort-Sicherheit.

Ohne Administrativen Rechten (als einfacher User also) erlaubt mir mein PC (Windows XP) fast gar nichts mehr, als ob ich ein Kleinkind wäre.

@ Thread

Ad-aware hat beim letzten scannen 5 Wanzen finden und erfolgreich löschen können.
Kaspersky Anti-Virus war fähig alle 4 Elemente des (!) PC shutdown-Wurms beim letzten Scannen auch aus der Quarantäne aus zu beseitigen.

*EDIT*

Aus mir noch unbekannten Gründen will Windows plötzlich durch einen von mir nicht gewollten Update meinen Rechner ausschalten. Das Kreuz zum schließen des Fensters ist grau ...
 
Zuletzt bearbeitet:
So habe ich bisher noch jeden Virus gekillt ;)

Das halte ich eher für ein Gerücht. Die Dateien, in denen sich Viren und Trojaner verstecken können, erkennst du nicht so ohne weiteres. Da hilft auch dein Freund Google nicht, da sich Schadsoftware auch in ganz "normalen" Systemdateien einnisten kann. Rootkits wirst du so ebenfalls nicht aufspüren können. Allenfalls Prozesse, die eigentlich nicht laufen sollen. Da aber nicht jede Schadsoftware ständig läuft (z.B. Zero-Day-Programme u.ä.) wirst du diese so nicht erkennen. Auch im abgesicherten Modus lassen sich nicht alle Dateien löschen, also sind auch hier Grenzen gesetzt. Da bei einem durchschnittlichen Rechner weit über 100.000 Dateien abgelegt sind, wird eine manuelle Suche auch sehr langwierig werden.

Schon lustig, wie dieses Uraltprogramm immer noch beworben und empfohlen wird. :verwirrt:

Vor ein paar Jahren war es das beste, insoweit geb ich dir recht. Aber die Zeit schreitet weiter und heutzutage is S&D hoechstens noch Durchschnitt. Es wurde nie wirklich ueberarbeitet, braucht ewig zum Scannen und findet nicht mal alle aktuellen Schädlinge und ist dazu noch unverschaemt gross. Nicht zu reden von den Abstuerzen des SD Browser Addons....

Also ich würde von S&D abraten, aber jeder wie er will. :D

Wo hast du denn deine Weisheiten so her? Das Hauptprogramm ist zwar von 2005 (Windows XP ist übrigens älter ;) ), die aktuelle Version 1.6.0 (stabile Version) ist jedoch vom August 2008, die Nachfolgeversion 1.6.1 steht als Beta seit Dezember zur Verfügung. Daß man nicht mit jeder Version ein neues Hauptprogramm schreibt, dürfte verständlich sein. Die Signaturdatenbank wird regelmäßig gepflegt, diese sollte man natürlich ebenfalls regelmäßig updaten, sonst erkennt das Programm natürlich nicht jede aktuelle Bedrohung. Nur kann dann das Programm nichts dafür...
Nach meinen Erfahrungen bremst Spybot Search and Destroy einen halbwegs aktuellen Rechner nicht aus. Dazu sollte man natürlich das System zuerst immunisiert haben. Sonst kostet die Überwachung jeder einzelnen Datei natürlich Performance. Aber auch das ist nicht untypisch für Antiviren- und Antispywareprogramme. Dazu gibt es im Übrigen in der PC Games Hardware 1/2009 einen ausführlichen Artikel (für Virenwächter).
Wenn Spybot Search and Destroy für dich "höchstens noch Durchschnitt" ist, dann ist das sicher eine Sache. Aber warum empfiehlst du dann nicht gleich ein deiner Meinung nach geeigneteres Programm? Das würde mich nämlich mal interessieren, zumal ich mich tagtäglich mit der Sicherheit von Systemen beschäftigen muß. Oder genauer gesagt mit Systemen, die wohl nicht so sicher waren und bei denen der User nicht mehr weiter weiß.


@Lord Zumpferl: Sorry, ich versuche stets so einfach wie möglich zu schreiben und die Dinge genau zu erläutern, leider gelingt mir das nicht immer.

Ohne administrative Rechte ist das Arbeiten für Windowsnutzer, die das AGIBS (=Alles geht immer-Bequemlichkeitssyndrom) haben zunächst ungewohnt. Linuxnutzer kennen es dagegen eigentlich nicht anders. Nachteil kann unter Windows in einigen Fällen sein, daß manche Programmierer schlampig gearbeitet haben und auch unwichtige Programme wie Spiele Adminrechte verlangen können. Aber auch dann sollte man im Normalfall als eingeschränkter Nutzer arbeiten, da man als ständiger Admin jedem Schadcode Tür und Tor weit öffnet. Als eingeschränkter Nutzer sind wichtige Systemdateien dagegen vor Zugriff geschützt, so daß die Schadsoftware geringere Chancen hat, ihr Potential zu entfalten.
Wenn du nur ein einfaches DSL-Modem nutzt, dann sollte auf deinem Rechner auf jeden Fall die Windows-Firewall eingerichtet und aktiv sein, damit dein Rechner gegen direkte Angriffe aus dem Netz (Hacker etc) geschützt ist. Außerdem, wie schon oben von mir geschrieben, sollte ein aktuelles Antivirenprogramm seine Arbeit verrichten.

Das Fenster mit dem ausgegrauten Schließen-Kreuz könntest du mal hier posten, dann kann ich dir da vielleicht weiterhelfen.
 
Falscher Alarm. :) Den Edit-Eintrag hätte ich mir sparen können. Es war wirklich nur ein Windows-Update, nur dass der zu einem sehr, sehr dummen Zeitpunkt von alleine startete.
 
Spybot Search and Destroy legte mir den Rechner so lahm, dass ein online gehen kaum noch möglich war. Außerdem fragte mich dieses Programm ständig ob ich dieses oder sonstiges Vorgehen akzeptiere oder nicht. Sehr, sehr nervig. Habe es kurzerhand wieder gelöscht.
Ich geb zu Spybot S&D ist ein Programm das man startet und dann ersma den Rechner in ruhe lässt.:rolleyes: Aber das mit dem "Vorgehen aktzeptieren" ist der eigentliche Clou an dem Programm. Du siehs welche Programme irgendwas installieren wollen oder Registrywerte verändern. Man muss sich da schon etwas Zeit für nehmen.
Zumal du die Möglichkeit hast bei Programmen die du als vertrauenswürdig einstufst ein Häkchen bei "diese Einstellung merken" zu setzen.
 
Das halte ich eher für ein Gerücht. Die Dateien, in denen sich Viren und Trojaner verstecken können, erkennst du nicht so ohne weiteres. Da hilft auch dein Freund Google nicht, da sich Schadsoftware auch in ganz "normalen" Systemdateien einnisten kann. Rootkits wirst du so ebenfalls nicht aufspüren können. Allenfalls Prozesse, die eigentlich nicht laufen sollen. Da aber nicht jede Schadsoftware ständig läuft (z.B. Zero-Day-Programme u.ä.) wirst du diese so nicht erkennen. Auch im abgesicherten Modus lassen sich nicht alle Dateien löschen, also sind auch hier Grenzen gesetzt. Da bei einem durchschnittlichen Rechner weit über 100.000 Dateien abgelegt sind, wird eine manuelle Suche auch sehr langwierig werden.


Was du schreibst ist richtig, aber meist sind es nicht die schlimmen Viren, sondern kleine, die man auf meinen Weg auch beseitigen kann. Sollten es richtig harte sein, dann hilft das auch nichts, dann hilft nur eine Neuinstalation.
 
Was du schreibst ist richtig, aber meist sind es nicht die schlimmen Viren, sondern kleine, die man auf meinen Weg auch beseitigen kann. Sollten es richtig harte sein, dann hilft das auch nichts, dann hilft nur eine Neuinstalation.

Die Frage ist, ob man als Normaluser die "schlimmen" Viren von den "kleinen" Viren unterscheiden kann. ;) Das schaffen meiner Meinung nach nur die Spezialisten für Systemsicherheit.
 
Zurück
Oben