Virus?? Wurm?

Dieses Thema Virus?? Wurm? im Forum "Sonstiges rund ums Internet" wurde erstellt von quinten, 10. März 2004.

Thema: Virus?? Wurm? hi Leute hab mal ne Frage wenn ich eine Zeit lang den Rechner anhabe und Steam spiele und danach aus Steam rausgehe...

  1. hi Leute hab mal ne Frage wenn ich eine Zeit lang den Rechner anhabe und Steam spiele und danach aus Steam rausgehe und dann nen anderes Programm aufmachen will wie zb. Tune up oder so oder den Taskmanager geht nix mehr muss dann Neustart machen das ich wieder Programme ausführen kann. :-[ :-[. Ich weiss net ob das was mit Steam zu tun hat oder net vielleicht hat das ja noch jemand oder ist es ein Virus Wurm oder so ??
    Hab Antivir drauf findet nix ausser ab und zu Worm Nachi B1 und B2 oder so !!
    Wer kann mir helfen oder muss ich format c: machen?? :'(

    verschoben von Windows XP
     
  2. Außer ist gut ... entfernt dein Virenprog den denn wenigstens? Ansonsten mal hiermit entfernen: http://www.wintotal.de/Software/index.php?id=1855

    Btw: Nachi-Wurm ... scheint die gleiche Lücke zu nutzen wie einst Blaster, hast du den Sicherheitspatch auf dem System? http://www.microsoft.com/germany/ms/technetservicedesk/bulletin/bulletinms03-039.htm
     
  3. hallo,

    da der wurm nachi.b bei einigen überhand nimmt, eine kleine anleitungshilfe zur manuellen entfernung, wenn man ein removaltool mal nicht so schnell zur stelle hat! ob er bei euch noch aktiv ist oder nicht, lest es euch durch und kontrolliert am besten euer system nochmals! ;)
    vorab ein paar infos zu diesem bösewicht.

    der wurm worm.nachi.b.1 & worm.nachi.b.2 ist auch bekannt unter folgenden alias: w32/nachi.worm.b, w32.welchia.b.worm, worm_nachi.b

    er befällt ausschließlich win nt/2000/xp systeme und nutzt dabei eine schwäche (pufferüberlauf oder buffer overrun) in remoteprozeduraufruf schnittstelle (rpc-interface)aus und versucht bei erfolgreicher installation die prozess der würmer mydoom.A & mydoom.B zu beenden und diese zu löschen. (d.h. nicht, daß man den wurm mydoom auf seinem system hat!!)
    zusätzlich bringt er seine eigenen web server mit.

    der wurm löscht sich selbst ab dem 01.06.2004

    er versucht von der microsoftseite folgende patches herunterzuladen und zu installieren:

    hier für die deutschen betriebssysteme:

    h**p:// download.microsoft.com/ download/ 4/ d/ 3/ 4d375d48-04c7-411f-959b-3467c5ef1e9a/ WindowsXP-KB828035-x86-CHS.exe
    h**p:// download.microsoft.com/ download/ a/ 4/ 3/ a43ea017-9abd-4d28-a736-2c17dd4d7e59/ WindowsXP-KB828035-x86-KOR.exe
    h**p:// download.microsoft.com/ download/ e/ a/ e/ eaea4109-0870-4dd3-88e0-a34035dc181a/ WindowsXP-KB828035-x86-ENU.exe
    h**p:// download.microsoft.com/ download/ 9/ c/ 5/ 9c579720-63e9-478a-bdcb-70087ccad56c/ Windows2000-KB828749-x86-CHS.exe
    h**p:// download.microsoft.com/ download/ 0/ 8/ 4/ 084be8b7-e000-4847-979c-c26de0929513/ Windows2000-KB828749-x86-KOR.exe
    h**p:// download.microsoft.com/ download/ 3/ c/ 6/ 3c6d56ff-ff8e-4322-84cb-3bf9a915e6d9/ Windows2000-KB828749-x86-ENU.exe

    quelle: bei jeder bekannten av-homepage ;)

    dadurch, daß er seinen eigenen server mitbringt, versucht er sich in bestimmten zeitabständen mit dem internet zu verbinden um zufällig gewählte ip-adressen zu infizieren.

    befinden sich dateien mit folgenden dateiendungen auf dem system, asp, htm, html, php, cgi, stm shtml überschreibt er diese und bringt bei ausführung dieser einen sinnlosen text.

    LET HISTORY TELL FUTURE !

    1931.9.18
    1937.7.7
    1937.12.13 300,000 !
    1941.12.7
    1945.8.6 Little boy
    1945.8.9 Fatso
    1945.8.15
    Let history tell future !


    der wurm erstellt eine svchost.exe in einem unterordner drivers oder auch os2 im folgendem verzeichnis: c:\windows\system32\
    oder c:\winnt\system32\ und startet sich als windowsprozess. somit ist erstx sichergestellt, daß die korruppte svchost.exe nicht so schnell entdeckt wird, da der taskmanager leider nur die prozessnamen aufführt aber nicht deren speicherort. um immer zu überprüfen, daß dieser prozess stets aktiv ist, läuft noch ein hilfsdienst im hintergrund mit, die wkspath.exe oder auch wkspatch.exe, der auch in den windows-diensten eingetragen ist, welche die aufgabe hat, zu überprüfen, ob die koruppte datei svchost.exe auch schön brav als prozess gestartet ist. sollte diese gekillt worden sein, wird sie durch diese hilfsdatei wieder gestartet.

    der dienst kann verschiedene namen haben, die wahllos gewählt werden. hier eine kleine auflistung, die aber nicht vollständig ist:

    internet, license, network, performance, remote, routing, security, system.

    sollte euer system vom w32.worm.nachi.b.1 befallen sein, könnt ihr zahlreiche removaltools verwenden oder aber ihr versucht diesen manuell zu enfernen.

    vorgehensweise:

    als erstes öffnet ihr die registry und hangelt euch zu folgendem schlüssel durch:

    hklm\software\microsoft\windows\currentversion\run

    dort solltet ihr nach folgendem oder ähnlichem eintrag auf der rechten seite suchen:

    [XXX-service] c:\windows\system32\XXX\svchost.exe wobei die XXX einmal für den windowsdienst und zum anderen für den unterordner stehen. solltet ihr diesen gefunden haben, löscht ihr diesen eintrag. bitte nur diesen eintrag löschen! merkt euch vorher, wie der windowsdienst heißt. dann ruft ihr den prozessviewer auf. der vorteil liegt darin, daß der prozessviewer beim starten den genauen pfad des prozesses mit aufzeigt, was der taskmanager leider nicht macht. das tool stelle ich zum download unten am ende dieses postings bereit mit einer kleinen erläuterung!
    habt ihr diesen gestartet, sucht ihr nach der korrupten svchost.exe! da diese mehrmals von windows als prozess gestartet werden kann (bis zu 6x), achtet genau auf den pfad! killt keinen prozess der svchost.exe der direkt im rootverzeichnis c:win[nt]dows/system32 liegt. sonst lauft ihr gefahr, daß ihr euer system sofort und unbeabsichtigt runterfahrt. habt ihr den korrupten prozess gekillt, geht dann über start/systemsteuerung/verwaltung/dienste zu den besagtem dienst und beendet diesen! schaltet diesen auch gleich auf deaktiviert, so ist sichergestellt, daß beim erneutem restart sich der dienst nicht nochmal ausführt.

    um sich vor diesem wurm zu schützen, ist es wichtig, sein system regelmäßig upzudaten! bitte spielt alle sicherheitspatches von microsoft auf. begebt euch am besten immer zum download dieser patches direkt zu homepage von microsoft. ;)

    prozessviewer: dies ist eine kleine zip-datei, die ich zur verfügung stelle, damit ihr zusätzlich zu den prozessen auch den genauen pfad des prozesses seht.
    die zip-datei heißt prcview.zip und kann von hier heruntergeladen werden. achtung: direktdownload! bitte mit der rechten maustaste ziel speichern unter... auswählen und an einem beliebigen ort eurer wahl abspeichern.

    dieses kleine tool ist ressourcenschonend, da es nicht installiert werden brauch, sondern gleich aus der zip heraus gestartet werden kann! es gibt noch andere sehr gute prozessviewer, die ressourcenschonend sind. (z.b. sysinternals.com)

    quellenangaben: von bekannten av-homepageseiten - denn alles aus dem hut kann ich leider nicht zaubern. ;D ;)

    ------ EDIT ------

    sollte ich dennoch was vergessen haben, dann ergänzt es einfach oder gibt mir bescheid, dann füge ich es hinzu oder berichtige. ;)
     
Die Seite wird geladen...

Virus?? Wurm? - Ähnliche Themen

Forum Datum
PC schreibt von alleine Striche -Virus oder Wurm? Viren, Trojaner, Spyware etc. 6. Okt. 2006
Performanceprobleme nach Virus-/Wurm-Entfernung Windows XP Forum 25. Feb. 2006
wurm- virus und co.eingefangen... Viren, Trojaner, Spyware etc. 23. März 2005
Trojaner, Virus, Wurm? Viren, Trojaner, Spyware etc. 19. Nov. 2004
Problem Messenger / Norton Antivirus (Wurm?) Windows XP Forum 10. Juni 2004