dein Google ist kaputt. Bei mir 1130 Ergebnisse.

http://www.google.de/search?q=Trojan.Win32.Kreeper.cnt&ie=UTF-8

Gert

Somit ist ein wichtiger Beweis vernichtet worden. Das erschwert die
Analyse des Angriffs und macht es nicht leichter, adäquate
Gegenmaßnahmen zu ergreifen.
Das heißt, der Schadcode ist ausgeführt worden und der Schädling
konnte über eine längere Zeit hinweg arbeiten?

Da es sich um ein trojanisches Pferd handeln soll, reicht es nicht,
bloß das Vehikel zu zerstören. Analogie: Den Trojanern hätte es
wenig gebracht, bloß das trojanische Pferd zu verbrennen. Vielmehr
hätten sie die Griechen, die im Bauch des Pferdes saßen, aufspüren
und unschädlich machen sowie alle Schandtaten, die diese angerichtet
hatten, rückgängig machen müssen.

Praktisch heißt das: Wenn der Zustand des Computersystems vor der
Infektion nicht bekannt ist, dürfte es Dir schwer fallen, Dein
System zu bereinigen. Du wüsstest schlicht nicht, ob das trojanische
Pferd irgendwelche Programme nachgeladen, Hintertüren eingebaut hat
usw.

Tipps:
- http://oschad.de/wiki/index.php/Kompromittierung
http://www.malte-wetz.de/index.php?viewPage=sec-compromise.html
http://www.cert.org/tech_tips/win-UNIX-system_compromise.html
http://faq.underflow.de/#SECTION000120000000000000000
http://faq.jors.net/virus.html
- http://www.microsoft.com/technet/security/secnews/articles/gothacked.mspx
http://www.microsoft.com/technet/archive/community/columns/security/essays/10imlaws.mspx
- http://www.netzwelt.de/news/70253-trojaner-paedophil-wider-willen.html
- http://www.malte-wetz.de/index.php/?viewPage=sec-removal.html
http://www.heise.de/security/Reinigen-oder-Plattmachen--/artikel/47520
- http://groups.google.com/groups?as_umsgid=***@mid.deneb.enyo.de
in Verbindung mit http://www.microsoft.com/technet/community/columns/secmgmt/sm0504.mspx
bzw. http://technet.microsoft.com/en-us/library/cc512587.aspx

Gruß, Heiko

Hallo,
Wenn dein Rechner durch Schadsoftware kompromittiert wurde, musst du
davon ausgehen, dass du nicht alle dadurch entstandenen Modifikationen
findst. Auch wenn du ein executable des Schaedlings ausgemacht hat und
geloescht hast, heisst das nicht, dass dein System wieder sauber ist.
Ein auf einem kompromittierten System ausgefuehrter Virus-Scan muss auch
bei Kompromittierung nicht unbdingt etwas finden. Ist das System noch
kompromittiert kannst du dem Ergebnis eines von diesem System aus aus-
gefuehrten Scans noch weniger trauen als du einem Virenscanner ohnehin
+trauen koenntest (und die Dinger finden prinzipbedingt wirklich neue
Viren *nicht*). Auf diese Weise kannst du keine Infektion dines Rechners
diagnostizieren, denn wenn dein System infiziert waere, waeren die
Ergebnisse des Scans absolut nichtssagend ...
Ja. Wenn du wieder zu einem "halbwegs sicher sauberen System" kommen
willst, mach di Kiste platt und installiere neu. Gleich kommen zwar
wieder alle moeglichen Vollchaoten unter ihren Steinen hervorgekrochen,
die dir das Gegenteil weismachen wolln, aber das aendert nichts an
den Tatsachen. Man kann ein kompromittiertes System nicht durch das
loeschen einer vermeintlich schuldigen Datei reinigen.

Tschuess,
Juergen Ilse (***@usenet-vrwaltung.de)

http://faq.jors.net/virus.html


Der Rechner ist kompromittiert, damit ist nichts mehr was du auf dem
Rechner startest in der Lage, die Schaedlinge zu erkennen oder zu
beseitigen.

Wenn du viel Zeit hast, kannst du die Platte an ein anderes, sauberes
System dranhaengen und dich in Computer Forensik austoben.

Ein paar Tage und genug Fachwissen solltest du mitbringen, ebenso wie
eine saubere Referens-Installation des gleichen Windows mit den
gleichen Programmen - damit das vergleichen und identifizieren von
Schadcode leichter faellt.

Wenn du diese Zeit und Musse nicht hast, hilft platt machen und neu
installieren, nur diesmal unter Beachtung aller Vorsichtsmassnahmen
(siehe Verweis auf den Link-Block in obiger FAQ).

Juergen

On Sat, 26 Jun 2010 15:39:02 +0200, Martin Krollmann
Machte die HD heute platt und spielte eine Komplett-Sicherung
auf, die vor (!) dem Viren-Ereignis erstellt wurde.

Eure Hinweise sagten mir deutlich, daß es weitaus rascher geht,
alles neu zu installieren, als da & dort herumzudoktern ohne
wirkliche Sicherheit/en.

Danke sehr für eure hilfreichen und meist umfangreichen
Anweisungs-Postings.

Alle Paßworte wurden inzwischen in völlig andere ausgetauscht.

Als erstes würde ich den Freund fragen, wo er die vuesca85.exe (eine
veraltete Version des Scan-Programms "Vuescan") herhat. Googeln nach dieser
Datei ergab in erster Linie Treffer von dubiosen Download-Sites, bei denen
man einen Schädlingsbefall fast voraussetzen kann. Das "echte" Vuescan,
welches inzwischen in der Version 8.6 vorliegt, dürfte dagegen nicht mit
Malware verseucht sein, kostet aber mindestens 40$.

Gruß

Michael