</font><blockquote>Zitat:</font><hr />Original erstellt von jenny77:
ok ich konnt die exe datei jetzt löschen.</font>[/QUOTE]OK, gut so. Jetzt müssen noch die verbliebenen Registry-Einträge entfernt werden. Das geht mit HijackThis über das gezielte Setzen von Häkchen und "Fix checked". Zu löschen also:

O4 - HKLM\..\Run: [Wupdate driver] WUPDATE.EXE
O4 - HKCU\..\RunOnce: [Wupdate driver] WUPDATE.EXE

Sowie auch (ist alles Adware):

O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe


</font><blockquote>Zitat:</font><hr />denkst du wirklich dass jetzt schon wer die passwörter etc weiß? ich hab die aber nirgends aufm pc stehn. wenn der wurm jetzt weg ist, hat dernjenige dann keinen zugriff mehr? </font>[/QUOTE]Was ich denke, ist nicht so wichtig. Vielmehr weiß ich, dass ich von hier aus nicht sicher sagen, inwieweit Veränderungen durch den Backdoor während seiner Aktivität vorgenommen wurden. Auszuschließen ist es jedenfalls nicht.

Siehe hier:
http://www.trendmicro.com/vinfo/viru...ORM_SPYBOT.GEN

Ich an deiner Stelle würde übrigens das System komplett neu aufsetzen.


Edit: Warum das Ganze? Nun, siehe hier:
http://www.trendmicro.com/vinfo/viru...OT.GEN&VSect=T

</font><blockquote>Zitat:</font><hr />Zitat:
Once active, this malware attempts to connect to an IRC server, where it joins a channel. While in IRC, it is able to receive commands from remote users, who are consequently able to perform the following:

* Remotely activate a Web server on the compromised system
* Retrieve system information, such as CPU, memory, disk and operating system details
* Browse files on the compromised system
* Execute a file remotely
* Use the compromised system to flood other hosts
* Open/Close the CD-ROM drive
* Activate a key logger remotely
* Terminate processes running on the compromised system
</font>[/QUOTE]

[ 27. Dezember 2003, 00:11: Beitrag editiert von: mmk ]

</font><blockquote>Zitat:</font><hr />Original erstellt von mmk:
[QB]

Zitat:

Original erstellt von jenny77:
ok ich konnt die exe datei jetzt löschen.</font>

OK, gut so. Jetzt müssen noch die verbliebenen Registry-Einträge entfernt werden. Das geht mit HijackThis über das gezielte Setzen von Häkchen und "Fix checked". Zu löschen also:

O4 - HKLM\..\Run: [Wupdate driver] WUPDATE.EXE
O4 - HKCU\..\RunOnce: [Wupdate driver] WUPDATE.EXE

Sowie auch (ist alles Adware):

O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe&lt;

das gmt und cmeii zeugs wirklich? das ist in nem extra ordner gleichen namens mit ganz viel zeugs drin, aber als änderungsdatum märz 2002, da hatte ich den pc noch gar nicht.

die x.exe datei die ich gestern schon gelöscht hat, hat doch dann bestimmt auch noch solche registry einträge, oder doch nicht?

die und die wupdate hatten das gleiche änderungsdatum und uhrzeit. ich war am 24. erst nach 21uhr on, hatte winmx oder sonstiges nicht an, hab eben nur auf der einen seite die beiden wav clips runtergeladen. dann kanns doch nur daher kommen oder? über die pop-ups geht ja nicht.

irc hab ich schon ewig nimmer geöffnet.


&gt;Was ich denke, ist nicht so wichtig. Vielmehr weiß ich, dass ich von hier aus nicht sicher sagen, inwieweit Veränderungen durch den Backdoor während seiner Aktivität vorgenommen wurden. Auszuschließen ist es jedenfalls nicht.&lt;


und was bedeutet das? wie seh ich ob veränderungen vorgenommen wurden? das geht doch nur in der zeit wenn ich on bin, oder ist das egal?
kann jetzt im nachhinein noch was passieren? ich hab mal wo was gelesen, dass da auch alle tasten die benutzt wurden abgerufen werden können. war das bei dem wurm jetzt der fall, oder gabs da "nur"-- nen zugriff auf meinen pc?
-------------

edit:

das ganze windows neu drauf? ne, oder? (((

&gt;Once active, this malware attempts to connect to an IRC server, where it joins a channel. While in IRC, it is able to receive commands from remote users, who are consequently able to perform the following:

* Remotely activate a Web server on the compromised system
* Retrieve system information, such as CPU, memory, disk and operating system details
* Browse files on the compromised system
* Execute a file remotely
* Use the compromised system to flood other hosts
* Open/Close the CD-ROM drive
* Activate a key logger remotely
* Terminate processes running on the compromised system&lt;


aber wenns doch nicht mehr aufm pc ist, geht das doch nicht mehr, oder?

und dann ging doch vorher nur wenn ich on war oder immer?

</font><blockquote>Zitat:</font><hr />Original erstellt von jenny77:
das gmt und cmeii zeugs wirklich? das ist in nem extra ordner gleichen namens mit ganz viel zeugs drin, aber als änderungsdatum märz 2002, da hatte ich den pc noch gar nicht.</font>[/QUOTE]Ja, das ist Adware. Spybot Search and Destroy (hat nichts mit dem Wurm Spybot zu tun!) sollte diese Adware erkennen und entfernen:

http://security.kolla.de

</font><blockquote>Zitat:</font><hr />die x.exe datei die ich gestern schon gelöscht hat, hat doch dann bestimmt auch noch solche registry einträge, oder doch nicht?</font>[/QUOTE]Nein, sie kann z.B. als Dropper fungiert haben.

</font><blockquote>Zitat:</font><hr />...hatte winmx oder sonstiges nicht an, hab eben nur auf der einen seite die beiden wav clips runtergeladen. dann kanns doch nur daher kommen oder? über die pop-ups geht ja nicht.</font>[/QUOTE]Es muss eine ausführbare Datei gewesen sein. Und diese stammt aus unseriöser Quelle. Dateitauschbörsen wären dafür typisch. Weißt du die Seite noch, wo es die wav-Dateien gab?

</font><blockquote>Zitat:</font><hr />irc hab ich schon ewig nimmer geöffnet.</font>[/QUOTE]Das hat mit diesem Wurm / Backdoor nichts zu tun. Er ist darauf nicht angewiesen.

</font><blockquote>Zitat:</font><hr />und was bedeutet das? wie seh ich ob veränderungen vorgenommen wurden?</font>[/QUOTE]Zweifelsfrei wirst du es nicht feststellen können.

</font><blockquote>Zitat:</font><hr />das geht doch nur in der zeit wenn ich on bin</font>[/QUOTE]Ja.

</font><blockquote>Zitat:</font><hr />kann jetzt im nachhinein noch was passieren?</font>[/QUOTE]Das hängt davon ab, inwieweit die Palette der Möglichkeiten, die über Spybot zur Verfügung stehen, ausgenutzt wurden (Passwortklau, Versand vom Spam über deinen PC, etc.)

</font><blockquote>Zitat:</font><hr />ich hab mal wo was gelesen, dass da auch alle tasten die benutzt wurden abgerufen werden können. war das bei dem wurm jetzt der fall, oder gabs da "nur"-- nen zugriff auf meinen pc?</font>[/QUOTE]Richtig. Du meinst einen Keylogger. Dieser ist in der Tat _ein_ Feature dieses Backdoors.

aber wenn ich jetzt off war und bin, hat dann immer noch jemand zugriff auf den pc??


wenn man windows neu installiert, ist doch alles vorher gespeicherte weg, oder?

hier http://www.trendmicro.com/vinfo/viru...ORM_SPYBOT.GEN auf der seite steht doch


NOTE: If you were not able to terminate the malware process from memory as described in the previous procedure, restart your system.&lt;


aber das memory zeugs war doch das mit dem registry oder nicht?

</font><blockquote>Zitat:</font><hr />kann jetzt im nachhinein noch was passieren?</font>[/QUOTE]Das hängt davon ab, inwieweit die Palette der Möglichkeiten, die über Spybot zur Verfügung stehen, ausgenutzt wurden (Passwortklau, Versand vom Spam über deinen PC, etc.)[/QUOTE]

* Remotely activate a Web server on the compromised system
* Retrieve system information, such as CPU, memory, disk and operating system details
* Browse files on the compromised system
* Execute a file remotely
* Use the compromised system to flood other hosts
* Open/Close the CD-ROM drive
* Activate a key logger remotely
* Terminate processes running on the compromised system&lt;

aber das ist doch jetzt gestoppt, dadurch dass ichs gelöscht hab, oder? sag ja-____-

jetzt hat doch keiner merh zugriff auf den pc`????

</font><blockquote>Zitat:</font><hr />das ganze windows neu drauf? ne, oder? (((</font>[/QUOTE]Das würde es in letzter Konsequenz bedeuten, ja.

</font><blockquote>Zitat:</font><hr />aber wenns doch nicht mehr aufm pc ist, geht das doch nicht mehr, oder?</font>[/QUOTE]Der Knackpunkt ist, dass man NICHT mit letzer Sicherheit sagen kann, dass durch die Entfernung der verursachenden Datei nun weitere Auswirkungen auszuschließen sind.

</font><blockquote>Zitat:</font><hr />und dann ging doch vorher nur wenn ich on war oder immer?</font>[/QUOTE]Ein Keylogger kann alles, was du offline schreibst speichern und dann, wenn du wieder online gehst, diese gespeicherten Daten demjenigen, der Zugriff auf dein System hat, zur Verfügung stellen.

wenn man windows neu installiert, ist das alles was ich jetz drauf hab, weg?


&gt;Ein Keylogger kann alles, was du offline schreibst speichern und dann, wenn du wieder online gehst, diese gespeicherten Daten demjenigen, der Zugriff auf dein System hat, zur Verfügung stellen.&lt;


und das geht jetzt immer noch?????

&gt; wenn man windows neu installiert, ist das
&gt; alles was ich jetz drauf hab, weg?

Ja, aber wenn du dich nicht richtig schuetzt, hast du den gleichen Muell recht schnell wieder auf dem Rechner.


&gt; und das geht jetzt immer noch?????

Wenn du die gleichen Passwörter benutzt wie vorher, klar. Wenn du z.B. eBay gemacht hast und dein Username/Passwort wurde mitprotokolliert kann man das ja von jedem PC aus nutzen.

Deshalb solltest du so schnell wie möglich alle verwendeten Passwörter abändern - wenn sicher ist das dein PC jetzt sauber ist.

[QUOTE]Original erstellt von SkeeveDCD:
[qb] &gt; wenn man windows neu installiert, ist das
&gt; alles was ich jetz drauf hab, weg?

Ja, aber wenn du dich nicht richtig schuetzt, hast du den gleichen Muell recht schnell wieder auf dem Rechner.&lt;

dann kann ich windows nicht neu installieren.


&gt;&gt; und das geht jetzt immer noch?????&lt;

Wenn du die gleichen Passwörter benutzt wie vorher, klar. Wenn du z.B. eBay gemacht hast und dein Username/Passwort wurde mitprotokolliert kann man das ja von jedem PC aus nutzen. &lt;

Deshalb solltest du so schnell wie möglich alle verwendeten Passwörter abändern - wenn sicher ist das dein PC jetzt sauber ist.

isses jetzt nicht sicher, oder wie? -.-


es kann doch aber auch sein, dass noch nix passiert ist, oder? ab wann kann man da sicher sein.

</font><blockquote>Zitat:</font><hr />Original erstellt von jenny77:

Zitat:

Original erstellt von SkeeveDCD:
[qb] &gt; wenn man windows neu installiert, ist das
&gt; alles was ich jetz drauf hab, weg?

Ja, aber wenn du dich nicht richtig schuetzt, hast du den gleichen Muell recht schnell wieder auf dem Rechner.&lt;

dann kann ich windows nicht neu installieren.


&gt;&gt; und das geht jetzt immer noch?????&lt;

Wenn du die gleichen Passwörter benutzt wie vorher, klar. Wenn du z.B. eBay gemacht hast und dein Username/Passwort wurde mitprotokolliert kann man das ja von jedem PC aus nutzen. &lt;

Deshalb solltest du so schnell wie möglich alle verwendeten Passwörter abändern - wenn sicher ist das dein PC jetzt sauber ist.

isses jetzt nicht sicher, oder wie? -.-


es kann doch aber auch sein, dass noch nix passiert ist, oder? ab wann kann man da sicher sein.

Zitat:

</font>

-------------

NOCH EINE FRAGE!


wenn ich jetzt windows nicht neu installiere, was könnte dann jetzt noch passieren. wenn der wurm jetzt komplett weg ist, hat man doch keinen zugriff mehr auf den pc..!?

anwortet bitte noch wer, will off ca. 10min

ich geh erstmal am besten gar nimmer on hier am pc und lass alles erstmal checken.

ich versuch mal auf den alten laptop aol draufzuspielen. wenns geht, dann meld ich mich nochmal.

danke für die hilfe. hätte das allein nie hingekriegt. weiß ich war nervig mit der fragerei.

sorry nochmal @andreas

</font><blockquote>Zitat:</font><hr />Original erstellt von jenny77:
anwortet bitte noch wer, will off ca. 10min</font>[/QUOTE]Moment noch, bitte!

bin noch da. kurz

also windows neu drauf kommt nicht in frage.

und oben der kurze text mit der info. da steht doch das man nur windows neu drauf machen soll, wenn mans nicht geschafft hat alles zu löschen.

Mahlzeit! Hatte mal einen ähnliche Mist drauf, und da hat nur noch formatieren genützt!!!