Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: W32/Netzky.D@MM

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 03.03.2004, 10:06   #1
robertine
 
W32/Netzky.D@MM - Böse

W32/Netzky.D@MM



Hallo hier meldet sich mal wieder robertine.
Habe heute gleich 2 Mailis bekommen mit dem gleichen
Anhang: "your_webseite.pif". Wurde von McAfee erkannt und gelöscht. Die Absender waren verschieden.
McAfee sagt mir nun ich soll diese virenbezogenen Aktivitäten unbedingt dem Absender mitteilen. Beide Absender sind mir unbekannt und deswegen sehe ich darin keinen Sinn. Vor allem denke ich, das ich dann
ja vielleicht direkten Kontakt zu den Virenversendern herstelle.
Seit kurzem benutze ich kein Outlook Express mehr - sondern Mozilla, dachte das dieses Programm sicher sei.

Bin nun etwas verunsichert, da ich nicht weiß ob ich diesen neuen Virus auf meinem Computer habe oder nicht, da mein Computer weiterhin "piept" - vielleicht erinnert Ihr Euch noch. Zu einer Neuinstallation konnte ich mich noch nicht entschließen, da es für mich eine Horrorvorstellung ist.

Vielleicht könnt Ihr mir ja einen Tip zu dem "Neu"
aufgetauchten Problem geben?
Lieben Gruß von der Computerbegeisterten aber sonst ziemlich unwissenden
robertine

Alt 03.03.2004, 10:22   #2
VanTom
 
W32/Netzky.D@MM - Beitrag

W32/Netzky.D@MM



Hi robertine,

ich würde an deiner Stelle keine virenaktivität an die absender schicken. Aktuelle Viren können sich e-mail-addressen auf einem Rechner zusammensuchen und sich selbstständig verschicken. Es ist also nicht sicher, dass ein Absender auch einen Virus auf dem System hat. Was meinst du mir Virenversender? Solltest du die Virusauthoren meinen, dann würden sich manche Behörden sehr freuen, wenn das so einfach wäre.*g*

Mozilla ist insofern "sicherer", dass keine Viren nur durch die Ansicht aktiviert und ausgeführt werden können. Sobald du auf einen Anhang klickst, wie .pif wird der Virus ausgeführt und dein System ist infiziert.

Ich würde den Rechner mal mit dem Stinger Tool, welches du unter:

Stinger

findet scannen. Das sollte nach den gebräuchlichsten Viren suchen.

bis denn

VanTom
__________________

__________________

Alt 03.03.2004, 11:57   #3
Shadow
/// Mr. Schatten
 
W32/Netzky.D@MM - Beitrag

W32/Netzky.D@MM



Informiere NICHT den vermeintlichen Absender, dass er Viren versenden würde.

Dies war "früher" mal üblich, freundlich und sinnvoll.
Heute verschickt sich die meiste Malware selbständig und benutzt zur Tarnung irgendwelche Email-Adressen die es im System findet. Deine Warnung wäre meist falsch und erhöhte nur das Emailaufkommen unnötig.
__________________
__________________

Alt 03.03.2004, 12:31   #4
Lutz
 

W32/Netzky.D@MM - Beitrag

W32/Netzky.D@MM



@Shadow

FULL ACK!

Mit diesen 'Warnungen' macht man heute nur noch Traffic und 'Ärger'...

Ich habe mir hier im Betrieb schon folgenden 'Textbaustein' gebastelt, weil unsere Mitarbeiter aufgrund dieser Warnungen Angst haben, ihre PC's seien infiziert:

</font><blockquote>Zitat:</font><hr />Sie können die Mail bedenkenlos löschen.
Es handelt sich um eine 'verirrte' Warnmeldung.
Manche Virenscanner auf zentralen Mailservern von Behörden, Firmen, ... sind leider auch heute noch so eingestellt, dass der vermeintliche Absender einer infizierten Mail eine automatische Warnung erhält. Diese früher sinnvolle Option führt leider immer dann zu unnötiger Verwirrung, wenn Viren, bzw. Internetwürmer in der Lage sind, den Absender zu fälschen. Wenn Sie eine solche Warnmeldung (von Unbekannten) erhalten, können Sie davon ausgehen, dass nicht Ihr Computer infiziert ist, sondern lediglich Ihre Mailadresse für den Versand 'missbraucht' wurde.
</font>[/QUOTE]tschööö, DerBilk
__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Alt 03.03.2004, 15:23   #5
Kat
 
W32/Netzky.D@MM - Frage

W32/Netzky.D@MM



Ich hab dieselbe Nachricht heute auch erhalten. "Symantec has detected a violation / virus in a document you authored. It has been deletetd. Please contact your system administrator". Kenne den Absender dieser vermeintlichen "Virus-Warnung" aber auch nicht. Die Email hat aber auch keinen Anhang, sodass man meinen könnte, der Wurm soll mit dieser Mail weiterverbreitet werden. Was hat das also alles zu bedeuten?


Alt 03.03.2004, 15:36   #6
Shadow
/// Mr. Schatten
 
W32/Netzky.D@MM - Beitrag

W32/Netzky.D@MM



Das bedeutet:


richtig, es bedeutet nichts.
Ausser daß irgendjemand Deine Emailadresse gespeichert hat.
Löschen und vergessen.
Vollkommen unabhängig davon, hoffe ich doch, daß Du selber einen aktuellen Virenscanner laufen hast.
__________________
--> W32/Netzky.D@MM

Alt 04.03.2004, 00:10   #7
robertine
 
W32/Netzky.D@MM - Böse

W32/Netzky.D@MM



vielen Dank für Eure Antworten.
Inzwischen habe ich mindestens 10 solcher Emails erhalten! Immer mit einem anderen Absender und immer mit einem anders benannten Anhang. Gerade eben kamen wieder 4 Stück herein und ich habe das Gefühl es steigert sich.
Sie werden von mir sofort gelöscht!

Die Emailadresse, die jetzt davon betroffen ist, war bisher sauber geblieben und ich war froh. Gebe im Internet bei Firmen immer nur eine bestimmte an, die auch voll zugemüllt wird. Da erhalte ich täglich zwischen 20 und 40 Mail´s die allerdings meistens etwas mit Viagra und ähnlichem zu tun haben und alle in englischer Sprache kommen.

Die jetzigen Mails sind anders. Die Meldung das der Anhang mit Viren verseucht ist, stammt von McAfee und mir wird mitgeteilt, das die Anlage gereinigt wurde.

Kann es sein, das jemand aus meinem Bekanntenkreis
so einen Anhang geöffnet hat und dadurch meine Adresse bekannt wurde?
Irgendwie ist mir das alles nicht sehr verständlich. Mit Euren Hinweisen auf verschiedene Adressen kann ich auch nicht umgehen. Wenn ich mir so ein Programm auf den Computer lade - wie gehe ich dann damit um? Muss ich meinen McAfee dann stilllegen? Wie gehe ich dann anschließend mit diesen Programmen um? Bleiben sie auf dem PC oder soll ich sie wieder löschen? Den hijack oder so ähnlich habe ich nämlich noch auf dem PC, der hat schon einmal meinen Computer durchsucht.

So jetzt habe ich viele Fragen gestellt, aber bevor ich noch mehr durcheinander bringe, frage ich lieber nach.

Wünsche Euch noch einen schönen Abend und vielleicht lässt mich dieser blöde Wurm ja auch wieder in Ruhe, aber ich denke, das wenn die Adresse erst einmal missbraucht wurde, das sie dann irgendwo gespeichtert ist für die nächste Attacke - oder liege ich da falsch?

robertine


Alt 04.03.2004, 07:35   #8
Shadow
/// Mr. Schatten
 
W32/Netzky.D@MM - Beitrag

W32/Netzky.D@MM



</font><blockquote>Zitat:</font><hr />Original erstellt von robertine:
Inzwischen habe ich mindestens 10 solcher Emails erhalten! Immer mit einem anderen Absender und immer mit einem anders benannten Anhang. </font>[/QUOTE]Das ist leider "vollkommen normal"

</font><blockquote>Zitat:</font><hr />Original erstellt von robertine:

Gerade eben kamen wieder 4 Stück herein und ich habe das Gefühl es steigert sich.
</font>[/QUOTE]Auch das ist "vollkommen normal"

</font><blockquote>Zitat:</font><hr />Original erstellt von robertine:

Sie werden von mir sofort gelöscht!
</font>[/QUOTE]Das ist gut [img]smile.gif[/img]

</font><blockquote>Zitat:</font><hr />Original erstellt von robertine:

Die jetzigen Mails sind anders. Die Meldung das der Anhang mit Viren verseucht ist, stammt von McAfee und mir wird mitgeteilt, das die Anlage gereinigt wurde.
</font>[/QUOTE]Trotzdem ungeöffnet löschen

</font><blockquote>Zitat:</font><hr />Original erstellt von robertine:

Kann es sein, das jemand aus meinem Bekanntenkreis
so einen Anhang geöffnet hat und dadurch meine Adresse bekannt wurde?
</font>[/QUOTE]Natürlich KANN dies sein

</font><blockquote>Zitat:</font><hr />Original erstellt von robertine:

Irgendwie ist mir das alles nicht sehr verständlich. Mit Euren Hinweisen auf verschiedene Adressen kann ich auch nicht umgehen. Wenn ich mir so ein Programm auf den Computer lade -
</font>[/QUOTE]Was für ein Programm?
Sowas wie HijackThis oder Spybot S&D?

</font><blockquote>Zitat:</font><hr />Original erstellt von robertine:

wie gehe ich dann damit um? Muss ich meinen McAfee dann stilllegen?
</font>[/QUOTE]Nein

</font><blockquote>Zitat:</font><hr />Original erstellt von robertine:
Wie gehe ich dann anschließend mit diesen Programmen um? Bleiben sie auf dem PC </font>[/QUOTE]Ja. Vor dem nächsten Gebrauch einfach updaten.
Ein gelegentlicher Einsatz von AdAware und Spybot S&D ist quasi ein MUSS wenn der InternetExplorer genutzt wird

</font><blockquote>Zitat:</font><hr />Original erstellt von robertine:

oder soll ich sie wieder löschen?
</font>[/QUOTE]Nein

</font><blockquote>Zitat:</font><hr />Original erstellt von robertine:

Den hijack oder so ähnlich habe ich nämlich noch auf dem PC, der hat schon einmal meinen Computer durchsucht.
</font>[/QUOTE]Hat er nicht
Es werden "nur" ein paar wichtige "Kleinigkeiten" durchsucht. Es ist KEIN Ersatz für einen Virenscanner oder ähnliches.


</font><blockquote>Zitat:</font><hr />Original erstellt von robertine:
...aber ich denke, das wenn die Adresse erst einmal missbraucht wurde, das sie dann irgendwo gespeichtert ist für die nächste Attacke </font>[/QUOTE]Die Chance ist leider sehr groß
__________________
alle Tipps + Hilfen aller Helfer sind ohne Gewähr + Haftung
keine Hilfe via PN
hier ist ein Forum, jeder kann profitieren/kontrollieren - niemand ist fehlerfrei
tendenzielle Beachtung der Rechtschreibregeln erhöht die Wahrscheinlichkeit einer Antwort
-


Alt 04.03.2004, 11:15   #9
robertine
 
W32/Netzky.D@MM - Beitrag

W32/Netzky.D@MM



Hallo Shadow, vielen dank für Deine ausführliche Antwort.
Gestern Nacht, ging dann plötzlich mein Internet nicht mehr, die Verbindung, - wenn sie dann einmal zustande kam - wurde sofort wieder getrennt. Das machte mich leicht hektisch und ich habe alles Mögliche versucht und bin dann auf die LCP - Erweiterung verwiesen worden, die ich deaktivieren sollte. Das habe ich dann auch getan und siehe da, die Internetverbindung kam wieder zustande.
Es macht mich aber stutzig, denn ich hatte vorher an meinen Einstellungen nichts geändert, warum dann plötzlich dieses Ereignis?? Muss ich das verstehen? Kann das mit den Virenangriff zu tun haben?

Noch eine Frage - zu meiner Frage - McAfee muss nicht stillgelegt werden? Mir hat jemand gesagt, das McAfee sonst auch als Fremdkörper angesehen wird?? Finde im Moment keinen anderen Ausdruck dafür, aber ich denke, Du weißt was ich meine. Soll ich alle Deine Empfehlungen übernehmen, oder mir nur einen raussuchen?

Dann habe ich bei der Suche nach dem Internetfehler in Ereignissen" Fehler gefunden die sich auf DCOM beziehen. Heise sagt nun dass das ein Fehler von Windows ist, aber wenn man DCOM ausschaltet, es sein kann, das dann irgendetwas wichtiges auch nicht mehr geht. Sagt Dir das etwas? So wie ich das verstanden habe, kann man meinen Computer dann über den Port 135 angreifen.
Eine Firewall ist installiert (von Windows) aber ob das ausreicht? Gibt es etwas wie man den Computer besser absichern kann?
Schon wieder viele Fragen, aber das sind alles Dinge die mich unsicher werden lassen, was ich tun oder lassen soll.
Jezt sende ich Dir erst einmal einen lieben Gruß und warte gespannt auf Deine Meinung.
wünsche Dir einen schönen Tag robertine

Alt 04.03.2004, 11:36   #10
Rene-gad
 
W32/Netzky.D@MM - Beitrag

W32/Netzky.D@MM



Hallo robertine.
Wenn ich mich nich irre, kämpfst du gegen den unbekannten Feind schon seit fast 6 Wochen. Und ich Frage dich (mit einem bestimmten Risiko, sofort angegriffen zu werden ) : wie viele Zeit hättest du gebraucht, um deinen PC platt zu machen und neu aufzusetzen? Ich schätze, mit allem Drum & Dram - 2 Tage. Dein sofortiger Gewinn - du bekommst ein System ohne "piepsen" (wenn es kein HW-Problem ist), ohne Malware - davon kann man nur träumen. Die wichtigen Daten (E-Mails, Dokumente usw.) kannst du soch sichern, alles anderes - ins Feuer.
PS: Die Argumente pro und contra

Alt 04.03.2004, 15:11   #11
Shadow
/// Mr. Schatten
 
W32/Netzky.D@MM - Beitrag

W32/Netzky.D@MM



</font><blockquote>Zitat:</font><hr />Original erstellt von robertine:

Noch eine Frage - zu meiner Frage - McAfee muss nicht stillgelegt werden? Mir hat jemand gesagt, das McAfee sonst auch als Fremdkörper angesehen wird?? Finde im Moment keinen anderen Ausdruck dafür, aber ich denke, Du weißt was ich meine.
</font>[/QUOTE]Wenn Du unter "McAfee" nur das Programm "McAfee Antivirus" meinst (es gäbe noch McAfee Antispam, Firewall...):
Das Antivirenprogramm selber ist fast nie ein Problempunkt. Problematisch könnte höchstens der im Hintergrund (hoffentlich) laufende Virenwächter sein, wenn und im Allgemeinen auch nur dann, wenn du von einem zweiten Antivirenprogramm ebenfalls denn "Wächter" laufen läßt. Problem dabei ist dass sich beide Programme gegenseitig ins Gehege kommen. (gleichzeitig die ein-und-die-selbe Datei scannen wollen)
Die hier erwähnten Programme wie CWShredder, AdAware, Spybot S&D, HijackThis sind aber alle KEIN Antivirenprogramm, auch Onlinevirenscanner können ohne Probleme zusätzlich mal Dein System scannen, ohne dass Du McAfee-Antivirus deaktivieren müsstest.

</font><blockquote>Zitat:</font><hr />Original erstellt von robertine:

Soll ich alle Deine Empfehlungen übernehmen, oder mir nur einen raussuchen?
</font>[/QUOTE]Ich würde durchlaufen lassen (vorher jeweils updaten):
AdAware
Spybiot S&D
CWShredder
ev. Hijackthis
wenn's nicht hilft Onlinevirenscanner von anderen Herstellern.
Lädst und installierst Du Testweise eine Test- oder Freeversion eines anderen AV-Herstellers solltest Du allerdings McAfee deaktivieren (nicht deinstallieren)
Allerdngs sei wirklich gefragt, ob ein kompletter Systemneuaufbau nicht sinnvoller sein könnte.
Aber eigentlich glaube ich nicht dass Du einen (klassischen) Virus auf Deinem PC hast!
Wegen Deinem "piep" werde ich mir bei gelegenheit nochmal den alten Thread reinziehen *bg*

Zu DCOM:
Wenn Du Dein Windows auf aktuellem Stand hast, sollte das Port 135 Problem weitestgehend (soweit man weiß) entschärft sein.
Wenn Du keine Malware schon auf Deinem Computer hast, die die Ports öffnet, reicht die XP-eigene Firewall aus um DIESES eine Problem zu entschärfen (AFAIK).
__________________
alle Tipps + Hilfen aller Helfer sind ohne Gewähr + Haftung
keine Hilfe via PN
hier ist ein Forum, jeder kann profitieren/kontrollieren - niemand ist fehlerfrei
tendenzielle Beachtung der Rechtschreibregeln erhöht die Wahrscheinlichkeit einer Antwort
-


Alt 04.03.2004, 20:02   #12
Lutz
 

W32/Netzky.D@MM - Lächeln

W32/Netzky.D@MM



</font><blockquote>Zitat:</font><hr />Original erstellt von Rene-gad:
...Und ich Frage dich (mit einem bestimmten Risiko, sofort angegriffen zu werden ) : wie viele Zeit hättest du gebraucht, um deinen PC platt zu machen und neu aufzusetzen? </font>[/QUOTE]Na na, meinst Du etwa mich?? [img]graemlins/lach.gif[/img]
Ich habe den 'Pieps-Thread' nicht wirklich in Erinnerung und werde zu diesem Problem auch deshalb nichts sagen.

@all
Aber wir sind uns doch sicher einig, dass robertine und jeder andere gegen diese 'unsäglichen' automatischen Warnungen im Grunde nichts machen kann, außer evtl. die Mailadresse zu löschen und mit einer neuen Mailadresse 'sorgsamer' umzugehen, also nicht bei jedem Sch*** die Adresse veröffentlichen. Aber wer gibt schon eine 'liebgewonnene' Mailadresse auf?!?
Von daher solche Meldungen einfach ignorieren und löschen -wie schon mehrfach erwähnt- ist der richtige Weg. Man kann u.U. noch mit einem Spamfilter arbeiten, aber auch das ist sicher mühsam, da jeder AV-Hersteller einen anderen Standard-Text verwendet und diese Texte in der Regel auch 'angepasst' werden können.

Also kurz und gut: Solche Mails löschen und der Käse ist gegessen...

tschööö, DerBilk
__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Alt 04.03.2004, 22:01   #13
robertine
 
W32/Netzky.D@MM - Beitrag

W32/Netzky.D@MM



[QUOTE]Original erstellt von Rene-gad:
[QB] wie viele Zeit hättest du gebraucht, um deinen PC platt zu machen und neu aufzusetzen? Ich schätze, mit allem Drum & Dram - 2 Tage.

Bei mir garantiert das Doppelte, da ich bei jeder Frage die mir nicht klar ist, unsicher werde.
(Kann mit englischen Texten und den meisten Spezialausdrücken - nichts anfangen)

Dein sofortiger Gewinn = Nervenkollaps - du bekommst ein System ohne "piepsen"
= traumhaft, aber das ist kurz vor dem Tod des Computers

[img]graemlins/balla.gif[/img]
die Argumente Pro und Contra habe ich auch gelesen, das hat mir aber ehrlich gesagt nichts gebracht, da ich meine Schwächen kenne.

aber danke für den Tip [img]tongue.gif[/img] robertine

Alt 04.03.2004, 22:16   #14
robertine
 
W32/Netzky.D@MM - Beitrag

W32/Netzky.D@MM



[QUOTE]Original erstellt von DerBilk:
[QB]
@all

also nicht bei jedem Sch*** die Adresse veröffentlichen. Aber wer gibt schon eine 'liebgewonnene' Mailadresse auf?!?
Von daher solche Meldungen einfach ignorieren und löschen -wie schon mehrfach erwähnt- ist der richtige Weg.


also - ich bin eher übervorsichtig und habe für Internetsachen - wo ich eine Emailadresse angeben soll immer eine ganz bestimmte, die jeden "MÜll" auffangen soll. Täglich mindestens 20 mal Mist, der sofort gelöscht wird. Die Mailadresse, die jetzt befallen ist, habe ich reserviert für "sichere Empfänger", aber was nutzt es wenn ich vorsichtig bin und andere mir dann Massenmails senden?? Aus solchen Mails habe ich hunderte von mir unbekannten Mailadressen, die ich sehe und speichern könnte - also sehen die anderen mich auch. Kann man Mails, die an mehr als einen Empfänger gerichtet sind - ausfiltern? Mir ist es lieber ich bekomme eine Nachricht weniger als diesen unsicheren Cirkus.
-------------------
Also kurz und gut: Solche Mails löschen und der Käse ist gegessen... ---- genau! das praktiziere ich immer und habe doch Probleme. Die aber irgendwo anders liegen, denn ich habe Stinger durchlaufen lassen und auch der? hat nichts gefunden.

Werde dann gleich noch einen Text hier reinsetzen, der mir unklar ist und vielleicht auch Ursache der Piepserei sein kann.

Irgendwann werde ich doch diese seltsamen Ereignisse wieder los werden - auch ohne "Platten"
Grüße mal ganz lieb und melde mich wieder
robertine

Alt 04.03.2004, 22:40   #15
robertine
 
W32/Netzky.D@MM - Beitrag

W32/Netzky.D@MM



So - nachdem ich in Google versucht habe eine Erklärung zu finden, aber nichts gescheites gefunden habe - komme ich wieder reumütig zu Euch zurück

Da ich ja ständig auf der Suche bin, wo sich mein Computer verschluckt und anders reagiert als ich mir das vorstelle, habe ich folgendes gefunden, ... was ich merkwürdig finde und nicht damit umgehen kann:

IPSec-Dienst konnte die vollständige liste der Netzwerkschnittstellen auf diesem Computer nicht ermitteln. Dies kann die Sicherheit des Computers stark beeinträchtigen, da die Schutzfunktion des IPSec- Filters auf einigen Netzwerkschnittstellen nicht angewendet werden können. Führen sie das IP-Sicherheitsmonitor- Snap-In aus um weitere Fehlerinformationen anzuzeigen.

Quelle: Security
Kategorie: Richtlinienänderung
Ereigniskennung: 615
Benutzer: NT-Autorität\Netzwerkdienst

--- Das ist die Meldung


Wenn jemand damit etwas anfangen kann und mir erklären kann wie man den IP-Sicherheitsmonitor-Snap-In ausführt und vor allem wo man diesen Knaben findet, kann ich vielleicht auch etwas damit anfangen.

Wünsche Euch eine gute Nacht und gehe jetzt auch in mein Bett, da die letze Nacht schon schlaflos war.
Liebe Grüße sendet die auf Ostern gut vorbereitete robertine - wenn ich auch nur nach Fehlern suche

Antwort

Themen zu W32/Netzky.D@MM
absender, aktivitäten, computer, confused, ellung, erkannt, express, heute, konnte, kontakt, mcafee, meinem, melde, meldet, mozilla, neue, neuen, neuinstallation, nicht, outlook, outlook express, problem, programm, schließe, schließen, unbedingt, unbekannt, unwissende, unwissenden, virus



Zum Thema W32/Netzky.D@MM - Hallo hier meldet sich mal wieder robertine. Habe heute gleich 2 Mailis bekommen mit dem gleichen Anhang: "your_webseite.pif". Wurde von McAfee erkannt und gelöscht. Die Absender waren verschieden. McAfee sagt - W32/Netzky.D@MM...
Archiv
Du betrachtest: W32/Netzky.D@MM auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.