wurm der nervt

von das tob, 30.01.04.

  1. das tob

    das tob Mod Emeritus Ex-Moderator

    Im Board seit:
    26.09.03
    Zuletzt hier:
    16.06.16
    Beiträge:
    2.027
    Ort:
    Berlin
    Zustimmungen:
    1
    Kekse:
    411
    Erstellt: 30.01.04   #1
    ich hab mir gestern nen wurm eingefangen.
    ich hörte dass man ihn sich über links einfängt.
    da ich aber gestern nur im board war, hab ich mich wohl hier infiziert.
    also warnung,bzw. wer weiss da genaueres.
    ich hab keine lust die links manuell einzugeben.
    toby
     
  2. viNtas

    viNtas Registrierter Benutzer

    Im Board seit:
    20.08.03
    Zuletzt hier:
    2.07.07
    Beiträge:
    338
    Ort:
    Harsewinkel
    Zustimmungen:
    0
    Kekse:
    10
    Erstellt: 30.01.04   #2
    die hier dürfte dir helfen, die datei hatte ich damals auf einmal auf dem pc und hat den virus gekickt:

    "Du siehst das hier, weil auf deinem PC eine Hintertür installiert wurde.
    Die hast du dir irgendwie auf deinen Rechner geholt als
    du auf einen ominösen Link (/rofl.txt, rofllogs/morgenlatte.jpg, www.lachschon-bilder oder p2p-sms )
    geklickt hast.

    Du fragst dich jetzt sicher wie der Text hier auf deinen Rechner kommt...
    ich habe einen kleinen Designfehler im dem Ding ausgenutzt
    um dir so zu helfen.

    Erster Schritt: Internetverbindung trennen !!!
    Nur so kannst du vorerst sicher sein.


    Nun der erste Versuch einer Anleitung den zu entfernen...
    Falls irgendetwas hier unverständlich ist / nicht funktioniert
    bitte Rückmeldung an Kontaktinfo (siehe unten) damit ich den Text
    hier aktualisieren kann.

    Und so gehts los:

    Da du den Taskmanager nicht mehr aufbekommst musst du einen alternativen
    runterladen.
    Falls du keine Lust dazu hast: Windows im "Abgesicherten Modus"
    neustarten (beim start auf F8 rumdrücken) und dann diesen Abschnitt überspringen.

    Link: http://www.sysinternals.com/ntw2k/freeware/procexp.shtml
    DL link ist ganz unten auf der seite...
    Den entpacken (irgendwohin wo platz ist) und starten.

    Auf den "process" header klicken um alle nach name zu sortieren.
    "svchost.exe" suche, sollte mindestens 3x da sein.
    Ein paar davon sind die "echten", also nen wichtiger Systemprozess, nicht anfassen.
    Und einer davon ist die Backdoor.
    Rechts auf "Path" schauen. System32\svchost.exe ist der echte.
    System32\Os2\svchost.exe ist die backdoor die nur 1x da ist.
    Rechtsklick drauf, und "suspend" auswählen.

    Nun ist bei einigen noch eine "nav.exe" (nein, nicht EUER norton anti virus)
    Da auch rechtklick drauf und "suspend".

    Nachdem nun alle suspended sind nochmal rechtsklick die 2 drauf und "kill".

    Die svchost.exe ist übrigens NICHT die die für das System
    wichtig ist. Das Ding nennt sich nur so.
    Fragt einfach wen der sich damit auskennt. Der kann euch sagen
    dass in DIESES Verzeichnis (os2) keine Datei mit dem Namen gehört.

    Nun da das Ding beendet ist kannst du es löschen:
    In das Verzeichnis vom Path gehen, also z.B.
    C:\Windows\System32\Os2\
    Dort findest du deine svchost.exe die so ein schwarzes
    Totenkopf icon (oder in der neueren Version auch ein "zip" icon) hat.
    Diese löschen, dann bist du das Ding auch schon fast los.
    Die "nav.exe" kannst du dabei auch gleich entfernen wenn sie da ist.

    Nun der autostart eintrag:
    Start -> Ausführen -> regedit
    Dies ist der Windows Registrierungseditor,
    alle Schlüssel sind hier in einer Baumstruktur angeordnet.
    Klick dich bis hier hin durch.
    HKEY_LOCAL_MACHINE
    Software
    Microsoft
    Windows
    CurrentVersion
    Run

    Wenn du den "run" ordner angeklickt hast siehst auf
    der rechten Seite jede menge Zeugs.
    Irgendwo da drinne steht eine Zeile die in etwa so aussieht:

    I-Services "C:\Windows\System32\Os2\svchost.exe"

    Diese (und nur diese) Zeile musst du löschen.


    ----- Media Player Abschnitt, nur für die Version mit Totenkopf icon -----
    Da es sich allerdings bei dir installiert hatte indem
    es den Windows Media Player im Programme Order überschrieben hat,
    musst du diesen eventuell auch löschen wenn er nicht von
    windows automatisch wiederhergestellt wurde.

    Der original MediaPlayer von WinXP (wmplayer.exe)
    ist ca. 508kb groß. Ist die Datei dort deutlich kleiner
    ist es vermutlich die Backdoor. Es sei denn du hast den
    Media Player 9 installiert, der ist nur 72kb.
    Wenn das Teil so ein schwarzes Icon hat ist der Fall eh klar,
    wenn nicht:
    Um sicherzugehen kannst du das recht einfach testen:
    Start das Ding. Geht der Media Player auf hast du Glück gehabt.
    Geht er nicht auf musst du die Anleitung nochmal durchgehen
    weil du wieder infiziert bist, und danach auch den Media Player
    löschen.
    Auf mehrfache Nachfrage: NUR die .exe, nicht das Verzeichnis !

    Eventuell funkt auch die WinXP Systemwiederherstellung dazwischen
    und stellt die Backdoor wieder her, die musst du falls das der Fall
    ist vorher abschalten.


    Viele der user meinten dass sie weiterhin den infizierten Link
    verschickt haben. Anscheinend wurde noch ein script in euerem mirc
    ordner abgelegt.
    Datei müsste "worm.txt" heissen, und ganz unten in der mirc.ini
    müsste ein Eintrag damit sein.
    Beides entfernen (also nicht die mirc.ini, sondern den einen eintrag).
    Ausführliche info hier: http://www.eggdrop.ch/texts/ircwurm/index.htm

    Da du dir das Teil per Internet Explorer eingefangen hast,
    und das beim klicken auf einen Link wieder passieren kann:
    Hier mal ein sicherer Browser (ja, kostenlos, spywarefrei etc ist er auch):
    http://www.mozilla.org/projects/firebird

    ----- Ende vom Media Player Abschnitt ---------------------------


    Hier noch nen gratis Antivirus Proggi, die sind inzwischen so
    weit sind dass sie das Teil erkennen, die aktuelle Version der Backdoor
    sollte mit dem Update das am Freitagabend oder Samstag rauskommt erkannt werden:
    http://www.free-av.de/
    Es macht allgemein diesen Virenscanner durchlaufen zu lassen
    da viele mit mehr als nur diesem einen infiziert sind.

    Hier noch nen topic zum thema (irgendwo mittendrin isses auch deutsch):
    http://www.quakenet.org/phpBB2/viewtopic.php?t=4115

    Weitere Fragen:
    Falls du gerade auf irc.quakenet.org bist: /join #hilfe.zur.selbsthilfe
    Da sammel ich (ex)infizierte damit die sich gegenseitig helfen können.
    Falls das gerade nicht der Fall ist: Mail an: drones.20.chromix@spamgourmet.com

    So... ich hoffe das hat geholfen.

    Achja, C:\drone.txt kannst du auch löschen wenn du sie nicht mehr brauchst,
    ist dieser Text ;-)
    "
     
  3. LSV Hamburg

    LSV Hamburg Registrierter Benutzer

    Im Board seit:
    12.08.03
    Zuletzt hier:
    5.09.06
    Beiträge:
    3.952
    Ort:
    Hansestadt Hamburg
    Zustimmungen:
    0
    Kekse:
    809
    Erstellt: 30.01.04   #3
    @ das tob:

    Ich schiebe das mal ins OffTopic, da ist die Chance wesendlich größer das dir geholfen werden kann !
     
  4. das tob

    das tob Threadersteller Mod Emeritus Ex-Moderator

    Im Board seit:
    26.09.03
    Zuletzt hier:
    16.06.16
    Beiträge:
    2.027
    Ort:
    Berlin
    Zustimmungen:
    1
    Kekse:
    411
    Erstellt: 30.01.04   #4
    öhm,dankeschön.
    da muss ich mich erst mal durcharbeiten.
     
  5. LSV Hamburg

    LSV Hamburg Registrierter Benutzer

    Im Board seit:
    12.08.03
    Zuletzt hier:
    5.09.06
    Beiträge:
    3.952
    Ort:
    Hansestadt Hamburg
    Zustimmungen:
    0
    Kekse:
    809
    Erstellt: 30.01.04   #5
    @ das tob:

    Mit dem Löschen von Dateien aus dem Ortner C:\Windows\System32 würde ich vorsichtig sein !
    Es gab vor einiger Zeit schon mal ein Wurm den man angeblich auch nur beseitigen konnte wenn bestimmte Systemdateien gelöscht werden, der Erfolg blieb aber aus.
    Nach dem löschen der angegeben Dateien ließ sich Windows nicht mehr starten und es mußte alles neu installiert werden !

    Sieh dich lieber mal hier um: http://www.tu-berlin.de/www/software/virus/aktuell.shtml
    vielleicht ist der Wurm da gelistet !
     
  6. paul_the_bassplayer

    paul_the_bassplayer Registrierter Benutzer

    Im Board seit:
    19.08.03
    Zuletzt hier:
    24.03.11
    Beiträge:
    580
    Ort:
    Hamburg
    Zustimmungen:
    1
    Kekse:
    34
    Erstellt: 31.01.04   #6
    oder gucke einfach mal hier um den wurm los zu werden:
    http://www.bsi.bund.de/av/index.htm
     
  7. das tob

    das tob Threadersteller Mod Emeritus Ex-Moderator

    Im Board seit:
    26.09.03
    Zuletzt hier:
    16.06.16
    Beiträge:
    2.027
    Ort:
    Berlin
    Zustimmungen:
    1
    Kekse:
    411
    Erstellt: 31.01.04   #7
    vielen dank.
    problem beseitigt. :)
    toby