ComputerBase Menü
Aktuelles

kaspersky schaltet sich einfach ab, seitdem permanente Trojaner

habichtfreak

habichtfreak

Captain
Registriert
Aug. 2006
Beiträge
3.524
hallo leute,

bis gestern lief mein rechner recht sicher seit einer langen zeit. ich habe zum schutz KIS 8.0.0454, win xp sp3 und von winfuture das updatepack märz 2009. und bis gestern lief der rechner ohne probleme. als ich ihn gestern anschaltete fuhr er hoch und kis war erst an und nach wenigen minuten bekam ich die meldung das es sich abschaltet und es fragte mich ob meine lanverbindung getrennt werden sollte. das hab ich selten mal. meist liegt es daran das das update fehlgeschlagen ist, datenbanken beschädigt. also ließ ich die verbindung offen um erneut ein update zu machen. erfolgreich. danach gab ich eine vollständige systemprüfung in auftrag. ca. 10 dieser meldungen hatte ich zwischendurch/danach:



offenbar hat kis das mit dem " regel erstellen" nicht verstanden, aber außer mehr arbeit für mich kein problem. seitdem(gestern nachmittag ) bekomme ich alle paar stunden neue funde. die lanverbindung war gestern keine 2 min ungeschützt. hat jemand ne idee woher das kommen kann? an software habe ich außer vorgestern "free video splitt und cut" von softdepo.com nichts installiert in letzter zeit.

mfg hb
 
Dann lad Dir Stinger runter (CB), Symantec und andere AV-Hersteller haben auch Internet-Diagnosetools. Dann das Übliche: Mal auf der WEB-Seite des Herstellers nach sehen.............................................................................und wenn alles nicht funzt mach Tabula Rasa.
MfG v. F:W:
 
ich hab für kis bezahlt und ich finde es auch nicht schlimm das es was findet. schlimmer wäre wenn er nichts findet. vor etwa einem jahr hatte ich auch probleme mit schädlingen. damals wurde mir hier empfohlen die sicherheitsupdates zu installieren. das hatte ich sträflich vernachlässigt und das war auch der grund der problem. seither mache ich das alle paar monate, aber offenbar schlüpft immer noch irgendwo was durch.
 
Anscheinend gibt es in der Version eine Sicherheitslücke. Geh auf die Kaspersky Seite und lade dir die neueste Version herrunter. Ich weiß, das ist sehr Mühselig :D Ich war auch etwas verwundert. Aber, es wird dringendst dazu geraten.

Gruß Andy
 
Da sich der Schädling in der Systemwiederherstellung breitgemacht hat, sollte Du diesen Dienst kurzfristig deaktivieren, bevor Du mit dem Löschen beginnst. Erst wenn alles sauber ist (bzw. scheint) wieder einschalten.
 
das klingt ja schon mal gut. ich hab jetzt kis 8.0.0. 506 drauf. bisher waren zwar keine weiteren funde aber nach der installation ist das update wahrscheinlich wieder in die hose gegangen und ich hab diesmal nicht gleich bemerkt das kis sich deaktiviert ( hab fern gesehen ).

der prozess ist für die systemwiederherstellung? die hab ich jetzt deaktiviert weil ich es eh nie nutze aber der dienst/prozess wird sicher noch aktiv sein. wo kann ich das deaktivieren?
 
habichtfreak schrieb:
...
der prozess ist für die systemwiederherstellung? die hab ich jetzt deaktiviert weil ich es eh nie nutze aber der dienst/prozess wird sicher noch aktiv sein. wo kann ich das deaktivieren?
Zum Vergrößern anklicken....

Nein, was das für eine Datei/ein Prozess ist, weiß ich nicht. Aber die befallene Datei befindet sich in dem Ordner, der auch die Daten für die Systemwiederherstellung (SWH) enthält = "System Volume Information".

Also, wenn Du die SWH jetzt deaktiviert hast, kannst Du versuchen, den Schädling zu löschen. Sobald dies erfolgt ist, PC neu starten und erneut scannen. Wenn alles clean ist, kannst Du die SWH wieder aktivieren.
 
ich hab heute einige mal suchen lassen. erst mit der .454 und dann mit .506, dann nochmal nachdem ich die swh deaktiviert habe und nachdem ich heuristische analyse von oberflächlich auf mittel gestellt habe nochmal. und punkt 19 uhr hat kis dann noch mal gescannt ( täglicher scann ). in allen fällen außer bei version .454 hat er nichts mehr gefunden außer 14 schwachstellen in diversen exen ( exel.exe, winamp.exe etc. )

ich hoffe ich hab jetzt wieder ruhe und die updates schlagen nicht ständig fehl.

swh bleibt aus, dafür hab ich ein backup. ist eh viel praktischer.

danke an alle für die hinweise.
 
ich benutze die .357-Version seit Ewigkeiten und hatte nie Probleme damit (anders mit der .506). Ich gehe sowieso davon aus, dass der Schutz durch das update nicht verbessert wurde, sondern nur irgendwelche Bugs behoben wurden (wieso gibt es nirgends changelogs?)

Jedenfalls, wenn du schon Schwachstellen findest: Vielleicht hast du die Malware ja auch daher! Und ich hoffe, du hast keine Datei "Exel.exe" auf dem Rechner hast, sondern höchstens "Excel.exe" ;)

Edit: Laut der Changelogs zu den beiden "critical fixes" für KIS 2009 (= KIS 8) hat sich nichts verändert, das irgendwie eine erhöhte Erkennungsrate oder erhöhten Schutz erklären würde; lediglich der Selbstschutz gegen Modifikationen von Kaspersky-Dateien für .506 sei erhöht worden; aber die können eh nur angerührt werden, wenn Kaspersky gar nicht geladen ist (z.B. abgesicherter Modus) (nur "abschalten" reicht dazu nicht).
http://www.kaspersky.com/support/kis2009/tech?qid=208279879 (critical fix 1, .357 to .454)
http://www.kaspersky.com/support/kis2009/tech?qid=208279946 (critical fix 2, .454 to .506)
 
Zuletzt bearbeitet:
Ich hatte genau das gleiche Problem nur mit drei verschieden Trojan. Ich habe alles versucht aber ich aheb den Trojan nicht weg bekommen da ers sich ihm Bootsektor abgesetzt hat . Jedes mal wenn ich es geschafft hatte die raus zubekommen hat er ihm neu start wieder die Trojan hochgeladen .Naja ich musste meine rechner platt machen . Sogar Kumpel freak hat das nicht hinbekommen obwohl er weiss wie solweche Trojan funktioniern (h...er).MFG RULES
 
25.04.2009 19:00:20 Gefunden: http://www.viruslist.com/de/advisories/33954 c:\programme\microsoft office\office11\excel.exe
25.04.2009 19:00:20 Gefunden: http://www.viruslist.com/de/advisories/31453 c:\programme\microsoft office\office11\powerpnt.exe
25.04.2009 19:00:21 Gefunden: http://www.viruslist.com/de/advisories/33981 c:\programme\winamp\winamp.exe
25.04.2009 19:00:21 Gefunden: http://www.viruslist.com/de/advisories/30285 c:\programme\microsoft office\office11\winword.exe
25.04.2009 19:01:10 Gefunden: http://www.viruslist.com/de/advisories/29434 c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{A4B500C8-F3EB-4AD9-9762-515CCA35FD16}\mia.lib
25.04.2009 19:03:07 Gefunden: http://www.viruslist.com/de/advisories/31744 c:\programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSO.DLL
25.04.2009 19:03:42 Gefunden: http://www.viruslist.com/de/advisories/33954 c:\programme\microsoft office\office11\excel.exe
25.04.2009 19:03:42 Gefunden: http://www.viruslist.com/de/advisories/31453 c:\programme\microsoft office\office11\powerpnt.exe
25.04.2009 19:03:42 Gefunden: http://www.viruslist.com/de/advisories/30285 c:\programme\microsoft office\office11\winword.exe
25.04.2009 19:04:16 Gefunden: http://www.viruslist.com/de/advisories/33981 c:\programme\winamp\winamp.exe
25.04.2009 19:04:46 Gefunden: http://www.viruslist.com/de/advisories/32270 c:\WINXP\system32\Flash8.ocx
25.04.2009 19:05:01 Gefunden: http://www.viruslist.com/de/advisories/34012 c:\WINXP\system32\Macromed\Flash\FlDbg9f.ocx


das sind die sachen die er immer wieder findet.
 
Du sollst die entsprechenden Patches für die o. g. Software runterladen und installieren. Kaspersky warnt dich vor den unsicheren Programmversionen.

Solange du die Patches nicht installierst, wirst du diese Meldungen immer wieder haben.
 
office 11? Keine Ahnung, ob BigM dafür noch updates rausbringt. Jedenfalls solltest du auf alle Fälle alle Programme aktualisieren, denen du Zugriff aufs Internet erlaubst; nicht, dass da jemand über offene Ports Schwachstellen ausnutzen kann.

Aber eigentlich ist es merkwürdig: Nur weil du mal ein paar Minuten ungeschützt warst, wirst du ja nicht sofort infiziert; es sei denn, jemand hatte deinen Rechner permanent im Auge gehabt und dich dauerhaft (oder im richtigen Moment) zu infizieren versucht. Warst du, während Kaspersky aus war, auf irgendwelchen Websites oder hattest andere Dienste an, die am Netz hängen (P2P, Chats etc?)?
 
ich bin den links mal gefolgt und stellte fest das es für office sp`s gibt. das wird sicher die schwachstellen beheben. zum zeitpunkt als kis aus war hatte ich nichts an außer ff und war auf einem browsergame ( www.the-west.de ). sofern jemand tatsächlich explizit mich angreifen wollte, könnte es daran liegen das ich seit über 2 jahren die gleiche ip habe?

seit dem vorfall habe ich auch vermehrt solche meldungen:

Schutz vor Netzwerkangriffen (Ereignisse: 4)
27.04.2009 16:29:07 Gefunden: Intrusion.Win.MSSQL.worm.Helkern Nicht vorhanden UDP von 202.99.11.99 auf lokalen Port 1434

da es immer port 1434 ist, stellt sich mir die frage ob ich den schließen kann/sollte?
 
Wieso scannst du nicht deine Festplatte einfach mit einem Boot-CD, G-Data und F-Secure bieten solche, boote einfach vom CD, lade die letzteren AV-Updates und alles durchscannen lassen, es dauert lange, aber dafür wird dein Rechner in "inaktivem" Zustand untersucht und es lassen sich alle Funde löschen, nur Vorsicht mit dem Löschen, frag lieber , falls du nicht sicher bist, "false positives" sind auch möglich! Gruß :D
 
also, die IP von dem Netzwerkangriff kommt aus China, und der port 1434 ist der "Microsoft-SQL-Monitor" und zur Beschreibung steht bei GRC:
Microsoft's SQL Server, including the desktop editions that are often silently installed with other Microsoft applications, opens and services queries delivered over incoming UDP connections through this port.

This port was made famous (literally) overnight by the fastest moving worm the Internet had ever seen at that time: The infamous "SQL Slammer" worm.
Zum Vergrößern anklicken....
Ich würde sagen, du hast nen Wurm durch eine der Schwachstellen von deiner Office-Installation!

ich würde den Rechner formatieren. Ohne hätte ich keine Ruhe mehr.

Den Port jedenfalls braucht kein Mensch, entsprechend kannst du den auch einfach per Firewall komplett blockieren (Einstellungen -->Programmkontrolle --> Firewall-Einstellungen -->Netzwerkpakete -->Hinzufügen (blockieren, Netzwerkdienst-hinzufügen (UDP, RemotePort 1434), beliebige Adresse)).
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Der_Scotty1986
Intel Treiber verursachen Bluescreen
2
Antworten
31
Aufrufe
1.349
Der_Scotty1986
Der_Scotty1986
Egaaal
Falsche Temperatur und Abstürtze mit ryzen 7 7700x
2
Antworten
22
Aufrufe
2.717
MegatroneN
M
Instanto
  • Gesperrt
Erfahrungen mit Windows 11 Update von 10
2
Antworten
21
Aufrufe
2.230
Markchen
Markchen
F
Neuer PC, schaltet sich nach 1-2 Sekunden ab
Antworten
3
Aufrufe
1.316
Questionmark
Questionmark
N
3 Mainboards gebrickt?!?
2 3
Antworten
42
Aufrufe
2.088
NoiseBomb
N
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz