Guten Tag,
die Telekom hat mich informiert,dass eines meiner PC mit dem nivdort infiziert sei.
Ich habe auf zwei Rechnern jeweils W10 und Ubuntu installiert.
Auf beiden PC habe ich den Virenscanner von Mcafee und malwarebyts laufen.
(gilt für Win10).Malware hat einen Trojaner gefunden,aber nicht den nivdort.
Meine Frage:was kann ich noch tun und wie erfahre ich,ob ich den Virus/Trojanaer
noch habe(ausser bei abuse Telekom anzurufen)?Die helfen mir aber auch nicht weiter.
Ich möchte halt verhindern,dass mein Zugang gesperr wird.
Ich würde mich für einen Lösungsvorschlag freuen.
Mit freundlichen Grüßen
J.Dumke
Hallo Herr Dumke,
das genannte Schadprogramm installiert nicht nur sich selbst sondern nimmt zahlreiche Änderungen am System vor, wie in https://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?Name=TrojanSpy:Win32/Nivdort.A beschrieben ist. Allerdings ist dieser Trojaner schon alt und sollte von jedem Antivirenprogramm erkannt werden.
Außer einer Beseitigung des Programms und der Änderungen im System sollten Sie prüfen, warum Ihr Antiviren-Programm bei einem so alten Schadprogramm so kläglich versagt hat. Es kann daher durchaus sein, dass ein anderes Schadprogramm Ihr Antiviren-Programm ausgehebelt hat.
Entweder, Sie untersuchen den Rechner mit der Notfall-CD Ihres Antivirenprogramms, beseitigen die Schäden und glauben, dass alles in Ordnung ist,
oder Sie spielen die Sicherung der Systempartition aus einer Zeit ein, in der der Rechner mit einiger Wahrscheinlichkeit noch sauber war.
Die Verwendung eines Antiviren-Programms im laufenden, verseuchten System wird vermutlich keine Besserung bringen, daher ist der Einsatz der Notfall-CD angezeigt.
VG
Norbert Hahn
Hallo Herr Dunke,
nivdort ist ein Trojaner und wenn die Telekom sich bei ihnen meldet, hat sie erkannt, das Ihr Rechner davon befallen wurde. Der Rechner ist damit Teil eines Botnetzes. Einige Provider wie die Telekom teilen ihren kunden mit, wenn erkannt wird, das der Rechner missbraucht wird. Entfernt der Kunde dies nach einer gewissen Zeit nicht, kann es auch vorkommen, das der Rechner gesperrt wird und nicht mehr auf das Internet zugreifen kann.
Solche Trojaner sind stark im System verankert und lassen sich nur schwer entfernen, meist ist nach einer Entfernung das Windowssysystem beschädigt und muss neu installiert werden. Deshalb sollte in solchen Fällen immer das System neu installiert werden und alle Festplatten müssen gelöscht werden.
Wenn das System einmal befallen ist, helfen unter Windows laufende Sicherheitsprogramme nicht mehr, diese werden von dem Trojaner manipuliert. das Entfernen geht somit nur aus den Notfallsystemen heraus, beschädigt aber wie oben erwähnt das System.
Ihre Daten sollten Sie auf einer externen Festplatte sichern, kopiert und nicht als Backup. Danach starten Sie den Rechner von einer AntivirenCD und untersuchen die Daten auf der externen Festplatte, alle befallen Dateien sollten gelöscht werden. Dies wiederholen Sie mit der CD eines anderen Herstellers.
Nach der Neuinstallation und der Installation eines Virenscanners, können Sie die Daten von der gereinigten Festplatte wieder aufspielen.
AntivirenCDs:
Beantwortete Frage von dirkkleemann Juni 17, 2016
Hallo Herr Klemann,Herr Hahn.
vielen Dank für die Antwort.
Ich habe heute in meinem T-online Postfach (dass ich fast nie benutze)gesehen,
dass die 1.Warnung wegen nivdort schon Mitte 2015 vorlag.Dann folgte noch einmal
eine im Mai,und die letzte im Juni 2016.
Da ich fast nur mit Ubuntu online bin und der Zeitabstand zwischen
der 1. und 2. Warnung so gross ist,ist mir der Zusammenhang klar:
Mitte 2015 bin ich von Vista auf Win7 umgestiegen.
Win 7 habe ich runtergeladen und eine CD gebrannt und dann intstalliert.Danach
die Warnung.
Bis Mitte Mai bin ich ausschliesslich mit Linux online gewesen,deswegen auch keine
Warnung.Erst als ich Win7 auf dem 2.Rechner installiert und auf ´W10 upgedated
habe,erfolgte wieder die Benachrichtigung von T-Online.
Ich habe mir den Virus/Trojaner also mit Win7 eingefangen.
Und deswegen lösche ich beide Win10 Partitionen und verfahre ,wie von Ihnen
Herr Klemann empfohlen.
Da ich nur mit Linux online bin,dürfte ich keine Probleme mit dem Zugang und evtl.Sperrung mehr haben.
Mit freundlichen Grüßen
Jürgen Dumke
Hallo Herr Dunke,
unter Linux kann der Trojaner in der Tat nicht aktiv sein. Wenn Sie ein Windowsimage heruntergeladen haben, kann es durchaus sein, das Sie an eines mit Schadprogrammen gekommen sind. Solche Installationsimages sollten Sie immer direkt von Microsoft herunterladen. Bei einem Update von 7 auf 10 bleiben die Dateien erhalten, damit auch das Schadprogramm.
Wenn Sie die Windowsinstallationen nicht mehr verwenden, ist auch der Virus nicht mehr aktiv und damit ist dies für die Telekom erledigt.
Mit freundlichen Grüßen,
Dirk Kleemann
Hallo Herr Kleemann,
haben Sie vielen Dank für die abschliessende und bestätigende EMail.
VG J.Dumke