Beiträge von winbooster

Hallo !
Nach der Schilderung zu urteilen ist der PC vom einem Wurm befallen. Angefangen vom W32-Blast , lovesun ,W32.Welchia.Worm, W32/Nachi.worm [McAfee],WORM_MSBLAST.D,
Welchi bis hin zum CodeBlue kommt erst einmal alles in Frage. Wenn man die I-Netverbindung nicht mehr trennen kann , engt sich der Kreis ein.Dann bleiben nur noch einige Modifikationen des MSBlast bzw, W32 übrig.
OK , folgendes ist zu tun (in der Reuihenfolge !)

1. Stinger von MacAffee in neuester Version runterladen , gleich nach I-Net-Start , da es da noch geht *ggg*
(unter http://www.pits-security.de/welcome1.html , dort auch die anderen noch zu erwähnenden Sachen runterladen)

2.Stinger durchlaufen lassen , er erkennt und beseitigt den Bösewicht.

3. ALLE !!Servicepacks von Win2k installieren . Hoffe , das es ein "sauberes" Win2k ist.

4.Jetzt den Patch von Microsoft (Url siehe oben) runterladen und einspielen. Geht aber nur , wenn alle Servicepacks drauf sind.

Nach menschlichen Ermessen müßte das System jetzt wieder clean sein.

Hier noch mal ganz ausführlich die Funktion der neuen Wurmgeneration und Beseitigungswege :

Name: W32.Welchia.Worm
Alias: W32/Nachi.worm [McAfee]
WORM_MSBLAST.D [Trend]
Welchi [F-Secure]
Art: Wurm
Größe des Anhangs: 10.240 Bytes (aspacked)
Betriebssystem: Windows 2000/XP
Art der Verbreitung: Netzwerk (TCP 135, TCP 80 bei IIS 5.0)
Verbreitung: hoch
Risiko: mittel
Schadensfunktion: Verbreitung über Port 135, Port 80 bei IIS 5.0
Versucht Microsoft-Patch gegen DCOM-RPC-Schwachstelle zu installieren
Entfernt Blaster-Wurm, sofern vorhanden
Wegen fehlerhaftem Code möglicherweise Störungen bei der Nutzung der Internet-Verbindung
Spezielle Entfernung: nein
bekannt seit: 18. August 2003

Beschreibung:

W32.Welchia.Worm ist ein Wurm, der sich über das Netzwerk verbreitet.
Er nutzt einerseits dazu die auch schon vom Blaster-Wurm[1] verwendetete DCOM RPC Schwachstelle aus. Dabei handelt es sich um einen nicht geprüften Puffer im "Windows Distributed Component Object Model (DCOM) Remote Procedure Call (RPC) Interface". Durch Überschreiben der Puffergrenze kann beliebiger Programmcode ausgeführt werden. Diese Schwachstelle befindet sich in nicht-gepatchten Windows NT/2000/XP-Systemen.
Informationen zu dieser Schwäche finden Sie im Microsoft Security Bulletin MS03-026[2]. Eine deutsche Beschreibung der Schwachstelle finden Sie auf dieser Microsoft-Seite[3].

Der zweite Weg, auf dem sich der Wurm verbreitet, ist über die WebDav-Schwachstelle. Hierbei handelt es sich eigentlich um einen nicht geprüften Puffer in der dynamischen Bibliothek ntdll.dll. Durch Überschreiben der Puffergrenze kann beliebiger Programmcode ausgeführt werden. Diese Schwachstelle wird hauptsächlich bei Rechnern mit nichtgepatchtem IIS 5.0 (Internet Information Server 5.0 auf Windows NT-, 2000-, XP-Rechnern) ausgenutzt.
Informationen zu dieser Schwäche finden Sie im Microsoft Security Bulletin MS03-007[4]. Eine deutsche Beschreibung der Schwachstelle finden Sie auf dieser Microsoft-Seite[5].

Windows 95, 98, Me und Windows NT sind nicht betroffen.

W32.Welchia.Worm sucht über TCP Port 135 und Port 80 einen angreifbaren Rechner. Er versucht, den Microsoft-Patch gegen die DCOM RPC Schwachstelle zu installieren und den Blaster-Wurm zu entfernen.

Dafür kopiert er sich selbst per TFTP in das Verzeichnis C:WindowsSystem32 oder C:WINNTSystem32 in die Datei dllhost.exe.
Er kopiert die Datei tftpd.exe in ein neues Verzeichnis unter dem Namen der Systemdatei svchost.exe und installiert zwei neue Dienste mit den Namen "Network Connections Sharing" und "Wins Client", um den Patch zu laden, den Blaster-Wurm zu entfernen und sich selbst weiterzuverbreiten.

Wenn der Patch installiert wurde, startet der Rechner sich neu.

Möglicherweise wird versucht, den Patch in einer falschen Sprache zu installieren. Auch einige bisher nicht verifizierte Eigenarten werden möglicherweise durch fehlerhaften Code des Wurm ausgelöst. Dazu zählen auch einige Störungen, die bei laufender Internet-Verbindung auftreten.

Der Wurm enthält den nicht angezeigten Text:

=========== I love my wife & baby :)~~~ Welcome Chian~~~
Notice: 2004 will remove myself:)~~ sorry zhongli~~~========== wins

Im Jahr 2004 wird der Wurm deaktiviert und entfernt sich selbst vom Rechner.

Hinweis:
Da sich der Wurm nicht über E-Mail-Nachrichten versendet, kann er an Mail-Gateways nicht abgefangen werden.
Administratoren sollten (wenn möglich) auf der Firewall die Ports

80 TDP
135 TCP
135 UDP
139 TCP
137 UDP
445 TCP
38 UDP
593 TCP

sperren.

Aktuelle Viren-Signaturen von Schutzsoftware erkennen den Wurm.

Windows 95, Windows 98, Windows Me und Windows NT sind von diesem Wurm nicht betroffen!

Auch Rechner von Privatanwendern sind gefährdet! Die entsprechenden Funktionen und Schwachstellen sind in allen Versionen von Windows NT/2000/XP enthalten.

Hinweise zur Entfernung des Wurms

1. Der Wurm gelangt über Sicherheitslücken des Betriebssystems auf den Rechner. Um dieses zu verhinden, ist es wichtig diese zu schliessen.

Installieren Sie hierfür die beiden Patches, die die Sicherheitslücken schliessen.

Auf allen Windows NT-, 2000-, XP- und 2003 Server- Rechnern muss der Microsoft-Patch MS 03-026[6] installiert werden . Ob der Patch schon auf Ihrem Rechner installiert ist, können Sie in:
Start - Systemsteuerung - Software kontrollieren.
Wenn dort der Eintrag Windows XP Hotfix - KB823980 auftaucht, ist der Patch bereits installiert.

Ebenso muss auf allen Windows NT-, 2000- und XP-Rechnern der Microsoft Patch MS 03-007 [7] installiert werden. Es sind durch den Wurm zwar nur solche Rechner mit dem Internet Information Server 5.0 betroffen, jedoch befindet sich die Sicherheitslücke in allen genannten Betriebssystemen.

2. Entfernen des Wurms:

Der einfachste Weg den Wurm zu entfernen, ist die Systemzeit kurzfristig auf 2004 zu stellen. Dann deaktiviert und entfernt sich der Wurm selbst.

Wenn dies nicht möglich ist, müssen folgende Schritte durchgeführt werden:

a. Wenn Ihr Betriebssystem Windows XP ist, deaktivieren Sie die Systemwiederherstellung (Anleitung dazu[8])

b. Aktualisieren Sie die Viren-Signaturen Ihres Antiviren-Programms

c. Starten Sie den Rechner neu oder stoppen Sie die o.g. Dienste

d. Führen Sie einen Suchvorgang mit Ihrer Anti-Virensoftware über Ihren Rechner durch und löschen Sie den gefundenen Virus.

e. Löschen Sie manuell die Datei svchost.exe aus dem Verzeichnis c:WindowsSystem32Wins bzw. c:WinntSystem32Wins. Beachten Sie dabei, dass Sie sich im richtigen Verzeichnis befinden. Die Datei svchost.exe im Verzeichnis c:WindowsSystem32 bzw. c:WinntSystem32 darf auf gar keinen Fall gelöscht werden, da es sich um eine Systemdatei handelt.

So , jetzt müßte alles klappen.

MfG
winbooster

Das deutet auf ein Problem mit dem Speicher/Chipsatz hin.
Der Barton brauch mindestens einen VIA-Chipsatz ab 600 , bzw den NVidea-Chipsatz.Letzterer ist aber noch mit Fehlern behaftet.
Auch die Wechselwirkung Chipsatz-Speicher kann schuld sein.
Der Barton läuft auch auf 400`-Chipsätzen , verursacht aber genannten Fehler dann bei bestimmten Speicherzugriffen , meist in Zusammenhang mit einer Grafikanwendung.
Bitte Bescheid geben , ob dies ein Lösungsansatz war.

MfG
winbooster

Hallo !
Definitiv ist der Computer mit dem Wurm W32-Blaster/Lovesun befallen !.
Folgende Vorgehensweise bitte genau einhalten:
1. Das Tool "Stinger" von McAffee herunmterladen unter
http://www.pits-security.de
(2.Seite,mittlere Spalte)
Ebenfalls dort in rechter Spalte den Patch von Microsoft für WinXP runterladen.
2. Stinger durchlaufen lassen , Desinfektion wird zum Schluß angezeigt.
3. Patch aufspielen
Fertig.
MfG
winbooster

...ich weiß auch nicht , warum der Link sich beim Abschicken der Antwort immer verändert , aber hier noch ein Versuch mit dem richtigen Link :
http://www.trojaner-board.de/f…b.php?ubb=get_topic;f=6;t4590
Falls es sich wieder verändert : nach dem letzten Komma im Link kommt zwei mal die Null , dann 4590
MfG
winbooster

Uuups ,
der angegebene Link war falsch !
Hier der richtige Link :
http://www.trojaner-board.de/f…b.php?ubb=get_topic;f=6;t4590
MfG
winbooster

Hallo !
Dies lässt sich sehr leicht durch entsprechende Sicherheitseinstellungen des Internet-Explorers unterbinden. Eine detaillierte Anleitung dafür können Sie sich im PDF-Format unter :
http://www.pits-security.de/BrowserEinstellungen.pdf
herunterladen.
Noch spezifischer erklärt die Webseite :
http://www.blafusel.de/ie.html
diese Einstellungen.Dort können Sie sich auch entsprechende fertige Scripte zum Einbinden herunterladen.
MfG
winbooster

Hallo !
Da die Entfernung dieses wirklich hartnäckigen Plagegeistes recht aufwendig sein kann (System-und Konfigurationsabhängig) lies mal folgenden Thread :
http://www.trojaner-board.de/f…b.php?ubb=get_topic;f=6;t4590#000000
Außerdem empfehle ich Jedem , das Tool "Addaware"!
Gerade durch einige Freewaretools wie Gozilla , Gator und Co , aber auch durch Filesharingprogramme kommen solche Kombi-Schädlinge auf ein PC-System. Vieleicht wäre auch noch "Spybot-search and destroy" zu empfehlen.
Addaware müßte den Eindringling zumindest aus der Registry entfernen können.
MfG
winbooster

Achtung !
Bei AntiExe handelt es sich um einen relativ gefährlichen Bootsektorvirus ! Hier mal die Daten :
Bezeichnung: Antiexe
Typ: Bootvirus
Verbreitung verbreitet
Wirkung/Schaden: Wenn die Tastenkombination Strg-Untbr gedrückt wird, während der Virus auf eine Diskette zugreift, überschreibt Antiexe einzelne Sektoren dieser Diskette.
Besonderheiten: Tarnkappenvirus, das heißt, er versucht seine Anwesenheit im System zu verbergen. Fahndet nach einer nicht näher bekannten EXE-Datei der Länge 200.256, die er zerstören würde.
Die Desinfektion ist bei diesem Virus bei jedem Betriebssystem anders. In Ihrem Fall gehen Sie wie folgt vor : Besorgen Sie sich eine saubere Startdiskette von Win98 oder besser noch WinME.
Booten Sie Ihr System von dieser Diskette. Wenn Sie die Eingabeaufforderung (Dos-Prompt) sehen , geben Sie folgenden Befehl ein : C:fdisk/mbr
Damit ist Ihr Bootsektor erst mal clean. Nun nehmen Sie sich ein Antivirenprogramm , welches extern startet. In der Zeitschrift PC-Welt gibt es CD?s , welche autostartfähig sind und ein Antivirenprogramm mitbringen.Damit zerstören Sie den evtl. auf Ihrer Festplatte sitzenden Virus. Nun können Sie Ihren Rechner wie gewohnt starten und das Installieren von AntiVir PE dürfte problemlos möglich sein.
Ihr
winbooster

Hallo !
Das heißt nichts Anderes , als das Irgend Jemand Ihre E-Mail-Adresse auf seinem PC hat , welcher mit dem Wurm W32.Sober infiziert ist .
Ganz wichtig ! Niemals den Anhang öffnen ! Zur Sicherheit sollten Sie Ihren PC mit einen Programm testen , welches den Wurm findet und zerstört. Sie finden dieses spezielle Programm hier :
http://securityresponse.symantec.com/avcenter/FixSober.exe
Da zur Zeit im Netz eine Wurmepedemie zu grassieren scheint , lege ich Ihnen und den anderen Usern ans Herz alle Mails unbekannter Herkunft zu löschen , den PC durch Antivierenprogramme und Firewalls abzusichern .Sollte es zu Infektionen kommen oder kann dies vermutet werden , finden Sie im Netz ausreichend Hilfe. Ich selber habe den Würmern den Kampf angesagt und stelle bei mir auf der Startseite die aktuellen Infos und Abwehrprogramme zur Verfügung.Sie können unter http://www.pits-security.de die aktuellen Tools direkt downloaden.
Ein wurm-und virenfreies Wochende wünscht
winbooster

Schließe mich erst mal der vorhergehenden Meinung an , das Löschen ist problemlos möglich. Es handelt sich um ein defektes Update einer Bankingsoftware und ist weder durch einen Wurm temporär erzeugt wurden (wäre eine Vermutung meinerseits gewesen) noch ist diese Zip infiziert.Also grünes Licht.
Mit freundlichen Grüßen
winbooster

Hallo ,
am besten diese Datei noch mal packen (Zip in Zip) und mir per Mail (s.o.) zukommen lassen. Wird auf diesem Rechner Banking durchgeführt ? (T-Online , StarMoney o.Ä.) ? Wenn ja , bitte erst mal lassen , bis ich Bescheid gebe.
Mit freundlichen Grüßen
winbooster

Danke für das Feedback.Ich antworte mal im vorab , damit nicht der Ein druck entsteht wir geben auf *ggg* .
Momentan kann ich noch nicht nachvollziehen , wo da "der Wurm drin ist ".Da ich tagsüber im Job stehe und noch meinen Familienpflixchten nachkommen muß , kann ich mich erst abends dem Problem widmen . Anhand der Fehlernummer und den bisherigen Erkenntnissen werde ich versuchen einen Weg zu finden. Werde mich dann hier melden.
MfG
winbooster

Der Hinweis mit dem Kryptographiedienst war jetzt sicher das Entscheidende ! Es zeigt , das auf dem PC entweder schon eine Schadensroutine gegriffen hat , oder das System mißkonfiguriert wurde.Hier mal die Beschreibung :
>>>Stellt drei Verwaltungsdienste bereit: den Katalogdatenbankdienst, der die Signaturen von Windows-Dateien bestätigt; den Dienst für geschützten Stammspeicher, der Zertifikate vertrauenswürdiger Stammzertifizierungsstellen zu diesem Computer hinzufügt und entfernt und den Schlüsseldienst, der diesen Computer bei Einschreibungen in Zertifikate unterstützt. Wenn dieser Dienst beendet wird, werden diese Verwaltungsdienste nicht korrekt funktionieren. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können.
Unter Abhängigkeiten findet sich dort der Eintrag "Remoteprozeduraufruf (RPC)" Genau da greift aber unser LoveSun !
Bleibt uns also nur alles per Hand einzustellen.Folgende Prozedur :
1. Statt Fixblast (Symantec) laden wir uns das Tool "Stinger" aus dem Netz. Unter :http://download.nai.com/products/mcafee-avert/stinger.exe
2. Sollten wir es geschafft haben das Tool vollständig zu downloaden , starten wir den PC neu .
3. Ohne vorher online gewesen zu sein , starten wir Stinger .
4. Nach erfolgreichem Cleaning gehen wir unter XP in die Systemsteuerung.Dort öffnen wir "Verwaltung" und dort wiederum "Dienste".
5. Dort finden wir in einer Liste auch "Kryptographiedienste". Wir klicken diese Zeile (einmal !) an.
6. Oben links sehen wir nun , ob der Dienst aktiv ist oder nicht .Auch können wir ihn dort neu starten.
7. Wir klicken jetzt die Zeile doppelt an. Es öffnet sich ein neues Fenster mit mehreren Optionen. Nachfolgend die Einstellungen , welche dort fü+r ein normales Funktionieren eingetragen sein sollten.
8. >>Allgemein<< : Pfad C:WINDOWSsystem32svchost.exe -k netsvcs , Starttyp automatisch
>>Anmelden<< : Lokales Systemkonto
>>Wiederherstellen<< : Alles auf "Keine Aktion" einstellen
>>Abhängigkeiten<< :Remoteprozeduraufruf
9. So , jetzt spielen wir die Patchs von Microsoft noch einmal ein !!! http://download.microsoft.com/…wsXP-KB824146-x86-DEU.exe
10. den Rechner neu starten , auch wenn keine Aufforderung erfolgt.
Sollte es wider Erwarten auch nach dieser Anleitung nicht funktionieren , noch mal melden bitte. Ein positives Feedback wäre natürlich genauso gut
Mit freundlichen Grüßen
winbooster

Hallo chrissie !
So pauschal lässt sich Deine Frage gar nicht beantworten. Da zählen schon einige Faktoren mit.Die reinen Flaterates sind , abhängig des Übertragungsvolumens im Preisrelativ gleich und unterscheiden sich nur gering in der Qualität.
Natürlich gibt es viele Abstufungen , wenn man z.B. Volumentarife oder Time-Tarife wählt. Oftmals lohnen sich diese wirklich und können erheblich Kosteneinsparungen bringen . Örtlich gibt es auch Anbieter , die z.B. den Zugang per Breitbandkabel oder Stromnetz anbieten. Um Dir einen etwaigen Überblick zu geben , empfehle ich folgende Links. Ich denke , da wirst Du sicher fündig. :
http://www.adslflatrates.de/dsl-anbieter.html
http://www.webdesign-city.de/dsl-anbieter.html
http://www.dsl-isdn-xxl.de/dsl-anbieter.html
MfG
winbooster

Hallo !
Ärgerlich , aber es stimmt .AV und auch andere Antivierenprogramme sind nicht in der Lage den Wurm völlig zu entfernen. Z.Z. wird durch diese Programme nur eine Isolierung bewerkstelligt. Je nach System zeigt sich aber nach einem Neustart eine neue infizierte Datei (die alte war ja isoliert *ggg*). Aber wir sind dennoch nicht hilflos dem Plagegeist ausgeliefert ! Um das Ganze zu durchschauen mal ein paar Hintergrundinfos zu unserem netten Besucher (Am Schluß zeige ich , wie wir ihn loswerden):
W32/Gaobot-AI (16.09.03, akt. (+) 17.09.03)
Alias: W32.HLLW.Gaobot.AA (AF , AL)
Typ: W32-Massen-E-Mail-Wurm, Variante des W32/Gaobot-AA, W32/Gaobot-AE, -> W32/Gaobot-Ax-Fam.
Betroffen: WinNT/2000/XP
Verbreitung: über die bekannte "DCOM RPC"-Schwäche (MS03-026, MS03-039) auf TCP-Port 135 (s.u.)
über die bekannte "RPC locator"-Schwäche (MS03-001) auf TCP-Port 445 (s.u.)
administrative Netzwerkfreigaben mit schwachem Kennwortschutz
Kodelänge: 204.800 Bytes
Schutz: Infos von Microsoft zu:
MS03-039 (Buffer Overrun In RPCSS Interface).
Der dort beschriebene Patch ersetzt den vormaligen Patch zu MS03-026 und muß installiert sein!
MS03-001 (Unchecked Buffer in Locator Service).
Der dort beschriebene Patch muß installiert sein!
Die folgenden Dienste schließen bzw. deaktivieren, wenn sie nicht gebraucht werden
TCP 135
TCP 445
Personel Firewall so konfigurieren.
Beschreibung: kopiert sich nach %Sys%SERVICE5.exe
("%Sys%" steht für die Verzeichnisse System oder System32 im Windows-Stammverzeichnis)
modifiziert die Registry, sodaß der Wurm bei jedem Systemstart automatisch gestartet wird (s.u.)
öffnet einen zufälligen TCP-Port, um sich mit dem Hacker zu verbinden
verbindet sich, mit Hilfe eines eigenen IRC-Clients, mit einem vordefinierten IRC-Channel und wartet dort auf Kommandos, mit denen der Hacker folgende Aktionen auf dem kompromitierten Rechner ausführen kann:
die Installation des Wurms kontrollieren
den Wurm dynamisch aktualisieren
Herunterladen und Ausführen von Dateien
Systeminformationen stehlen
den Wurm an andere IRC-Benutzer senden
weitere Benutzer auf dem Rechner einrichten
sendet Daten an TCP-Port 135 um die bekannte "Buffer Overrun In RPCSS Interface"-Schwäche auszunutzen (s.o.)
sendet Daten an TCP-Port 445, um die bekannte "Unchecked Buffer in Locator Service"-Schwäche auszunutzen (s.o.)
testet administrative Netzwerkfreigaben mit den bereits eingerichteten Benutzerdaten und zusätzlich mit den folgenden Benutzer-/Kennwort-Daten:
Benutzer:
aaa
abc
Admin
admin
Administrador
Administrateur
administrator
Administrator
asdf
Default
Dell
Gast
Guest
home
Inviter
Login
mgmt
Owner
owner
qwer
Standard
temp
test
Test
User
win
xyz
Kennwort:
00000000
000000
007
110
111
123
1234
2002
2600
12345
54321
111111
121212
123123
123456
654321
1234567
11111111
12345678
88888888
123456789
1234qwer
123abc
123asd
123qwe
abcd
admin
Admin
alpha
computer
database
enable
foobar
god
godblessyou
ihavenopass
Internet
love
mypass
mypc
oracle
pass
passwd
Password
password
pat
patrick
pwd
root
secret
server
sex
super
sybase
xxx
yxcv
zxcv
nach erfolgreichem Zugang kopiert sich der Wurm auf den neu kompromitierten Rechner und führt sich aus
stiehlt CD-Schlüssel für die folgenden Spiele:
Battlefield 1942
Battlefield 1942 Secret Weapons of WWII
Battlefield 1942 The Road to Rome
Command & Conquer Generals
Counter-Strike
FIFA 2002
FIFA 2003
Half-Life
LoMaM
Nascar Racing 2002
Nascar Racing 2003
Need For Speed Hot Pursuit 2
Neverwinter
NHL 2002
NHL 2003
Project IGI 2
Rainbow Six III RavenShield
Red Alert
Red Alert 2
Soldier of Fortune II - Double Helix
The Gladiators
Tiberian Sun
Unreal Tournament 2003
Warcraft III
WestwoodNox
durchsucht die aktiven Prozesse nach den folgenden Firewall- oder Antivirus-Namen und schließt diese:
_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
ACKWIN32.EXE
ANTI-TROJAN.EXE
APVXDWIN.EXE
AUTODOWN.EXE
AVCONSOL.EXE
AVE32.EXE
AVGCTRL.EXE
AVKSERV.EXE
AVNT.EXE
AVP.EXE
AVP32.EXE
AVPCC.EXE
AVPDOS32.EXE
AVPM.EXE
AVPTC32.EXE
AVPUPD.EXE
AVSCHED32.EXE
AVWIN95.EXE
AVWUPD32.EXE
BLACKD.EXE
BLACKICE.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET.EXE
CFINET32.EXE
CLAW95.EXE
CLAW95CF.EXE
CLEANER.EXE
CLEANER3.EXE
DVP95.EXE
DVP95_0.EXE
ECENGINE.EXE
ESAFE.EXE
ESPWATCH.EXE
F-AGNT95.EXE
FINDVIRU.EXE
FPROT.EXE
F-PROT.EXE
F-PROT95.EXE
FP-WIN.EXE
FRW.EXE
F-STOPW.EXE
IAMAPP.EXE
IAMSERV.EXE
IBMASN.EXE
IBMAVSP.EXE
ICLOAD95.EXE
ICLOADNT.EXE
ICMON.EXE
ICSUPP95.EXE
ICSUPPNT.EXE
IFACE.EXE
IOMON98.EXE
JEDI.EXE
LOCKDOWN2000.EXE
LOOKOUT.EXE
LUALL.EXE
MOOLIVE.EXE
MPFTRAY.EXE
N32SCANW.EXE
NAVAPW32.EXE
NAVLU32.EXE
NAVNT.EXE
NAVW32.EXE
NAVWNT.EXE
NISUM.EXE
NMAIN.EXE
NORMIST.EXE
NUPGRADE.EXE
NVC95.EXE
OUTPOST.EXE
PADMIN.EXE
PAVCL.EXE
PAVSCHED.EXE
PAVW.EXE
PCCWIN98.EXE
PCFWALLICON.EXE
PERSFW.EXE
RAV7.EXE
RAV7WIN.EXE
RESCUE.EXE
SAFEWEB.EXE
SCAN32.EXE
SCAN95.EXE
SCANPM.EXE
SCRSCAN.EXE
SERV95.EXE
SMC.EXE
SPHINX.EXE
SWEEP95.EXE
TBSCAN.EXE
TCA.EXE
TDS2-98.EXE
TDS2-NT.EXE
VET95.EXE
VETTRAY.EXE
VSCAN40.EXE
VSECOMR.EXE
VSHWIN32.EXE
VSSTAT.EXE
WEBSCANX.EXE
WFINDV32.EXE
ZONEALARM.EXE
versucht, die folgenden, von anderen Würmern installierten Prozesse zu beenden:
dllhost.exe
msblast.exe
mspatch.exe
penis32.exe
scvhosl.exe
tftpd.exe
winhlpp32.exe
winppr32.exe
kann auch einen DoS- (Denial of Service-) Angriff starten
Registry: HKLMSoftwareMicrosoftWindowsCurrentVersionRun:
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices:
Configuration Loader = service5.exe
So , jetzt wissen wir was er wie tut und können zurückschlagen ! Wie erwähnt erst mal die Ports TCP 135 und
TCP 445 in der Firewall dichtmachen ! Anschliesend laden wir uns die beiden folgenden Patchs von Microsoft herunter , aber n o c h n i c h t !!! installieren !! :
http://www.microsoft.com/techn…ity/bulletin/MS03-039.asp
http://www.microsoft.com/techn…ity/bulletin/MS03-001.asp
So , jetzt starten wir den Virenscanner und lassen uns den Wurm in System32 isolieren. KEIN NEUSTART !
Erst an diesem Punkt hat die Installation der Patchs Sinn , da ja der Wurm nun temporär deaktiviert ist .Also Patchs einspielen . Danach müßten wir wieder am sicheren Ufer sein. Achso , Tip von mir :Vorsicht mit Filesharingtools (Kazaa und Co.) Ich denke mal , das das zu sehr hoher Wahrscheinlichkeit die Quelle sein dürfte.
Über ein Feedback an dieser Stelle würde ich mich freuen , da ich die Beseitigung dieses Wurmes selber noch nicht praktisch durchexerzieren konnte.
Mit freundlichen Grüßen
winbooster

Hallo !
Es ist gut , wenn gerade Anfänger sich ernsthaft Gedanken zur Sicherheit im Datennetz machen ! Zur Frage des "ausreichen" : Einen absolut ausreichenden und sicheren Schutz gegen Viren,Trojaner , Atacken, Angriffe und Spionage im Internet gibt es nicht ! Man kann und soll aber die möglichen Mittel ausschöpfen um seinen Rechner und Internetzugang so sicher wie möglich zu machen. Ich empfehle 4 Dinge : Ein gutes und vor allem aktuelles Antivirenprogramm , eine gute Firewall, ein Programm zu Erkennen und Eliminieren von Spyware sowie ständige Aktualisierung der Sicherheitspatchs zur jeweiligen Betriebssystemsoftware. Im konkreten Fall heißt das : 1. Antivir ist vorhanden ! Gratulation . 2. Eine gute Firewall - Empfehlung von mir wäre Outpost Firewall oder ZoneAlarm. Der dritte Punkt wäre Spyware (Spionagesoftware welche als normales Tool oder Werbung getarnt ist). Dafür hat sich als hervorragend das Programm "AddAware" (Freeware) oder in der käuflichen Version "AddAware professi!
onal+AddWatch" bewährt.
Die unter Punkt 4 genannten Sicherheitspatchs kann man z.B. beim Internet-Explorer unter "Extras"-"Windows-Update" herunterladen.
Die nächste Frage bezog sich auf das Programm AntiVir .Wenn man auf das Programmsymbol auf dem Desktop klickt , öfnnet sich das Programm. Oben gibt es mehrere Schaltflächen unter Anderem erscheint da auch "Online-Update". Mann muß natürlich schon online sein bevor man dieses Update aktiviert. Wenn das Update aktiviert wurde öffnet sich ein neues Fenster. Hier kann man den Status mitverfolgen und bekommt auch die weiteren notwendigen Informationen.
Ich hoffe doch , mit diesen Ausführungen die Fragen beantwortet zu haben . Im Anschluß noch die Links unter welcher die Software zu finden ist :
AddAware : http://www.lavasoft.de/
ZoneAlarm : http://www.zonelabs.com/
Outpost : http://www.agnitum.com/
Mit freundlichen Grüßen
winbooster

Hallo !
Natürlich gibt es Möglichkeiten ausreichenden Traffic "vorzuschwindeln" . Als erstes möchte ich das Programm "Flatrate-Steckdose" empfehlen. Dieses ist Freeware. Im Prinzip signalisiert dieses Tool einen Datenverkehr zwischen PC und Web , so das die Verbindung nicht getrennt wird. Du findest dieses Tool unter :
http://www.iopus.com/de/flatrate.htm
Auch ist dort eine sehr gute Erläuterung zu den technischen Hintergründen zu finden.
Eine ganz einfache und zuverlässige Lösung kannst Du natürlich auch mit Boardmitteln realisieren.Du startest Outlook-Express und stellst es so ein , das die POP-Abfragen in einem von Dir gewählten Abstand (min. 1 Min) erfolgt.
Natürlich kann man das ganze auch relativ professionell betreiben , also quasi eine Standleitung haben. Z.B. mit dem Programm "flat2serv" . flat2serv kombiniert ein "Stay-Online" Tool mit einem HTTP- und FTP Server. Durch diese Kombination ist es möglich, einen "normalen" Internetzugang (Flatrate o.ä.) als Quasi-Standleitung, und somit als Webserver zu gebrauchen. Dank des im Packet enthaltenen, leistungsfähigen HTTP- und FTP Servers ist das Programm mit wenigen Mausklicks installiert und eingerichtet. Du findest dieses Tool unter :
http://www.freeware.de/Windows…nload_flat2serv_7010.html
oder zusammen mit anderen guten Tools unter :
http://www.cdesign.de/
Ich hoffe Dir mit diesen Antworten umfassend geholfen zu haben und wünsche Dir auch weiterhin viel Spaß mit PC-Special.
MfG
winbooster

Hallo , lieber K.P.
Da Du dieses Problem sicher erst hast , seit dem Du DSL nutzt (2 Monate) , vermute ich mal Folgendes :
Bei Deiner Netzwerkkarte , über welche Du online gehst , ist das TCP/IP-Protokoll initialisiert . Da dieses direkt auf Speicherbereiche zugreift kommt es zu diesen geschilderten Aussetzern. Versuche doch mal unter Systemsteuerung >> Netzwerk >> Eigenschaften(Deiner Netzwerkkarte) TCP/IP zu deaktivieren . Aber nur bei der Karte !!! Bei DFÜ-Adapter etc. muß dieses Protokoll vorhanden sein ! Rechner neu starten und durchchecken. Sollte das Problem weiterhin bestehen , bitte noch mal hier melden. Natürlich wäre ein Feedback bei Erfolg auch nicht schlecht.
MfG
winbooster

Hallo !
Beim angegebenen Download ist das Programm vollständig enthalten . Für das geschilderte Problem gibt es im Grunde drei ursächliche Möglichkeiten.
1. Der Download war unvollständig/fehlerhaft
2. Das auf dem Pc installierte Standardentpackprogramm ist fehlerhaft (oftmals unter ME und XP)
3. Auf dem PC sind Systemdateien fehlerhaft (zeigt sich , wenn bei ähnlichen Installationsroutinen ähnliche Fehler auftreten)
Am wahrscheinlichsten ist aber die Variante 1 , also einfach das Original der heruntergeladenen Installationsdatei löschen !!! und komplett neu herunterladen. Sollte die Installationsdatei vorher nicht gelöscht werden , überschreibt sie sich mit der neuen und erzeugt seltsamerweise oftmals die selben Fehler wie die Ursprüngliche .
MfG
winbooster

Hallo !
Leider scheint sich der Wurm "LoveSun" immer noch auf dem System in aktiver Form zu befinden .Die Schilderung deutet darauf hin.Wichtig bei der Vernichtung des Wurmes und der anschließenden Sicherung des Systems ist die Reihenfolge !
1. Aktuelle Version von FixBlast (bei Symantec)(1) laufen lassen.
2.Nach erfolgter Eliminierung System rebooten !!!
3.Mind. SP2 aufspielen und das aktuelle Sicherheitspatch (2)aufspielen. Neustart !
(1)http://www.sarc.com/avcenter/v…ar.b@mm.removal.tool.html
(2)
http://www.microsoft.com/techn…ity/bulletin/MS01-027.asp