|
hallo. ich hab echt keine ahnung von viren etc. und was ich machen muß. helft mir bitte :( ( am 24.12 hab ich auf ner seite ne wav datei runtergeladen und danach hat sich der windows task manager nicht mehr geöffnet. wenn dann hat er sich nach ca.1 min wieder geschlossen. ich weiß zwar nicht ob das vorher schon war, aber da ists mir erst aufgefallen. ich hab dann nach der datei vom task manager gesucht und sie auf den desktop kopiert. so lässt sich der task manager öffnen, aber durch die tastenkombination gehts nicht. ich hab dann auf laufwerk c ne datei gefunden die hieß x.exe dass hab ich dann im i-net auf ner seite überprüfen lassen. dann wurde gesagt dass es ein trojaner wäre der trojandownlaoder.win32.small.ar heißt. ich hab dann die x-exe datei gelöscht. war das ok? der taskmanager lässt sich aber immer noch nicht öffnen. diese x.exe war zuletzt am 24.12 geändert wurden um die zeit als ich die wav datei gedownloadet hab. war übrigens auf ner seriösen homepage. ich hab noch nie einen email-anhang geöffnet, es sei denn von meinem freund oder mutter. und das warens nur bilder. wenn man auf ner seite ein thumbnail öffnet oder allein dadurch das man auf ne seite geht kann doch nix passieren oder? oder wenn auf ner seite pop-ups geöffnet werden? am 24. haben sich auf dieser seite nämlich dauernd pop-ups geöffnet. und das eine konnte ich so nicht mehr schließen, deshalb wollte ich auch den task manager öffnen. die prozesse sagen mir auch gar nix. ich hab mal ein screenshot gemacht. http://www.beepworld.de/memberdateie...boshi/task.jpg Ich hab den pc erst seit mai diesen jahres und ich denke mich zu erinnern, dass es immer so um die 34 prozesse waren. Wenn dann nur minus, tablet.exe (das ist mein grafiktablet, denk ich mir mal), icq, und winmx. helft mir bitte. ich weiß net was ich machen soll, bei google find ich nix, und in dem andern forum will mir keiner helfen. :( was ist denn dieses wupdate.exe ? die cpu auslastung steht immer auf 20-40. das i-net is ganz lahm und einige seiten laden net. hab dsl. das kann aber auch an aol liegen, weiß nich. ich kann diese datei nicht löschen |
wupdate.exe wurde auch zuletzt am 24.12 um die selbe zeit wie diese x.exe teil geändert. ich heul gleich. was soll ich machen? soll ich beim task manager auf prozess beenden? geht bestimmt auch nicht. wenn ich bei der datei auf eigenschaften gehe, ist "versteckt" angeklickt, soll ich das entfernen? |
Es gibt einen ganzen Haufen Trojaner und sonstige Malware das sich als WUPDATE.EXE ausgibt. Die Task sollte jedenfalls nicht ständig im Speicher laufen. Lade doch mal HijackThis runter und poste das Log hier. http://fileforum.betanews.com/detail...fid=1071179190 Wenn der Taskmanager blockiert wird probiere auch mal den Process Explorer: http://www.sysinternals.com/files/procexpnt.zip Ach ja, und lass die Finger vom Internet Explorer und benutze lieber Mozilla, Firebird oder Opera. |
hallo?-- http://www.trojancheck.de/ soll ich mir das da runterladen? ist das ungefährlich. hier auf der seite http://www.trojaner-info.de/beseitigung.shtml bei nr.1 das mit der rubrik und erkennung. was bedeutet das? wo findet man das? |
@Skeeve: ich peil gar nix. was ist denn der erste link von dir? wie funktioniert das. was muß ich genau machen, wenn ichs runtergeladen hab? kann ich bei der wupdate.exe datei bei eigenschaften das "versteckt" entfernen?? |
Man kann bei Trojanern kaum allgemein gültige Tipps geben, es gibt zuviele Punkte wo sie sich ins System einhängen können. Mit HijackThis und MSCONFIG kriegt man schon einen Teil weg. Zu dem TrojanCheck kann ich nichts sagen, sie aber nicht besonders überragend aus. |
Der 1. Link ist ein Analyse-Tool das dir alle Programme anzeigt die automatisch mit Windows gestartet werden oder irgendwie mit dem Internet Explorer verknüpft sind (Dialer z.B.). Einfach starten, da gibt es eine Scan-Option und davon das Log hier ins Forum posten. Dann können wir dir eher weiterhelfen. Das 2. ist ein erweiteter Taskmanager mit mehr Funktionalität (z.B. Tasks einschläfern (Suspend)). |
Moin Jenny und Willkommen im Board, erst einmal ganz wichtig Ruhe bewahren!! Wenn Du die wav-Datei noch auf Deinem Rechner hast und diese nicht größer als 1MB ist, kannst Du die hier bei Kaspersky online überprüfen lassen. Wenn die Datei größer als 1 MB ist, kannst Du alternativ unter www.bul-online.de/av/onlinescan.shtml (am Besten Rav und/oder Trend Micro!) einen Onlinescan des Rechners machen. Hierfür musst Du allerdings ActiveX im InternetExplorer zulassen. Das die Quelle 'seriös' war, hat übrigens leider nichts zu sagen. Als nächstes rate ich Dir, Du lädst Dir HijackThis herunter, scannst deinen Rechner und postest uns den Report hier. Dann können wir besser sehen, was sich auf deinem Rechner so 'tummelt', als bei dem beigefügten Screenshot. Danach können wir dann sehen, was zu machen ist. Ich bin zwar gleich erst mal wieder offline, aber es gibt ja viele andere Helfer hier... tschööö, DerBilk und nicht vergessen: Ruhe bewahren und nicht hektisch werden... [img]smile.gif[/img] Edit: OK, ich war ein bisserl langsam... ;) |
habs runtergeladen. wenn ichs starten will kommt diese meldung. bin grad ganz durcheinander, sag mir mal ob das ok ist-_- [ 27. Dezember 2003, 01:23: Beitrag editiert von: jenny77 ] |
[QUOTE]Original erstellt von DerBilk: [QB] Moin Jenny und Willkommen im Board, >erst einmal ganz wichtig Ruhe bewahren!!< ;__; >Wenn Du die wav-Datei noch auf Deinem Rechner hast und diese nicht größer als 1MB ist, kannst Du die hier bei Kaspersky online überprüfen lassen.< da hab ich die x.exe datei überprüft. die wav dateien hab ich in der panik schon gelöscht gehabt-- >Das die Quelle 'seriös' war, hat übrigens leider nichts zu sagen.< Als nächstes rate ich Dir, Du lädst Dir HijackThis herunter, scannst deinen Rechner und postest uns den Report hier. Dann können wir besser sehen, was sich auf deinem Rechner so 'tummelt', als bei dem beigefügten Screenshot. Danach können wir dann sehen, was zu machen ist. Ich bin zwar gleich erst mal wieder offline, aber es gibt ja viele andere Helfer hier...< sagt mir wer das mit dieser warnung, und was ich machen muß wenns denn dann gestartet ist? will nix falsch machen. danke für die hilfe. |
jo, ist soweit ok! Da steht im Grunde nur, dass Du nichts fixen (=löschen) sollst, wenn Du Dir nicht sicher bist. Mach mal einen Scann mit dem Programm und schreibe den Bericht hier ins Forum |
ja habs gescannt und jetzt? muß ich auch auf "fix checked"? |
Sinngemäß steht dort, dass man die mit HijackThis gefundenen Einträge zunächst auswerten (lassen) sollte, bevor man wild drauf los löscht, sonst darfst du dein System neu konfigurieren. Hoffe der Beitrag kommt nicht zu spät ;) |
"fix checked" antwort bitte!!!! wenn ich so nervös bin mach ich noch alles falsch is fett gedruckt! muß ich wohl drauf, oder? |
</font><blockquote>Zitat:</font><hr />"fix checked" antwort bitte!!!! wenn ich so nervös bin mach ich noch alles falsch</font>[/QUOTE]Zunächst solltest du die angezeigten Einträge hier reinschreiben, damit wir dir sagen können, *welche* Einträge gelöscht werden sollten/können. |
die kann man aber gar net kopieren. muß ich wiedern screenshot machen? also soll ich auch "fix checked" nich klicken, ok. |
Nachdem du auf "Scan" gedrückt hast steht auf dem Knopf "Save Log". Danach öffnet sich ein Speicher-Dialog - speichere die Datei, öffne sie mit Notepad - dann kannst du alles markieren, kopieren und hier einfügen. |
wenn Du 'Scan' ausgeführt hast, steht auf dem gleichen Button 'Save log'. Das führst du aus und den dann angezeigten Inhalt kopierst du durch markieren in den Speicher und mit den Tasten [Strg] + [V] fügst Du den Inhalt hier ein. |
danke! hier: [ 27. Dezember 2003, 01:53: Beitrag editiert von: jenny77 ] |
sagt doch was. >< |
ist doch seltsam, dass die wupdate.exe am gleichen tag genau der gleichen uhrzeit geändert wurde wie dieses x.exe. ~__~ |
und jetzt weiß keiner weiter oder wie-- |
Hmm, diese wupdate.exe sieht verdächtig aus, aber einfach löschen würde ich dir auch nicht empfehlen. Hast du mal einen Virenscan gemacht? Wenn nicht: http://www.johannrain-softwareentwic...enzvertrag.htm Ansonsten sieht das meiner Meinung nach OK aus. Ich glaube hierbei aber nicht an eine Infektion, möglich wäre auch, dass dein Betriebssystem den Geist aufgibt... |
nebenbei steht die wupdate.exe bei den prozessen jetzt wieder auf 0 und das i-net ist normal schnell. vorhin wars ja an die 40 wo nix mehr ging |
>Ich glaube hierbei aber nicht an eine Infektion, möglich wäre auch, dass dein Betriebssystem den Geist aufgibt... < wieso? woran sieht du das und warum meinst du das jetzt? aber diese eine x.exe datei war dochn trojaner. is das jetzt erledigt, indem ich die datei gelöscht hab? so einfach kann das doch net sein |
Mal völlig OT (da ich deine "Aufregung" schon nachvollziehen kann): Kennst du den Unterschied zwischen einem Forum und einem Chat? Andreas |
Hallo! Ruhe bewahren! ;) C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe C:\Programme\Gemeinsame Dateien\GMT\GMT.exe -> Adware, Gator Diese Datei... C:\WINDOWS\SYSTEM32\wupdate.exe ...hier prüfen: http://www.kaspersky.com/de/remoteviruschk.html ...und während du das machst, schau ich mir weiter das Log an. |
Ob dein Rechner infiziert ist kann dir letztendlich nur ein Virenscan sagen. Einen Virus erkennt man nicht einfach und auch die Wege, auf denen man sich den schädlichen Code einfängt sind für den Nutzer nicht sofort ersichtlich. Ich habe aber noch nie einen Virus oder ähnliches gesehen, der den Taskmanager absägt. Du magst jetzt die Wahnsinnspanik haben, aber bedenke einfach alle Möglichkeiten - und ein Windows-Fehler ist ja nun wirklich alles andere als ausgeschlossen ;) |
Du hast da eine 'nette Sammlung'. Da musst Du uns schon die Zeit geben, sich das anzuschauen... ;) Alles sagt mir auf anhieb allerdings auch nicht unbedingt etwas. Auf jeden Fall solltest Du </font><blockquote>Zitat:</font><hr /> O4 - HKLM\..\Run: [Wupdate driver] WUPDATE.EXE </font>[/QUOTE]als erstes 'fixen'. |
...wobei es sich um eine Variante des Wurmes Spybot handeln dürfte. |
@andreas: sry. aber kannst den thread wenn ich das problem denn irgendwann gelöst hab, ja wieder löschen. wenn ich 20mal editiere, weiß ich ja net ob der nächste alles mitgekriegt hat @mmk: das hab ich doch versucht, aber indem besagten ordner wird diese datei nicht angezeigt. ich hab mit windows nach versteckten elementen gesucht, nur so konnte ich die wupdate.exe finden. wie gesagt, dass "versteckt" ist angekreuzt. soll ichs entfernen? denke, danach wrids auch im ordner angezeigt werden, oder? @warpman: ich hatte bei google schon gesucht. gibt mal "windows task manager" ein da kommen ein paar einträge, wo das gleiche problem gibt, dass er sich net öffnen lässt und sich nach ein paar seks. wieder schließt. und die hatten alle nen virus/wurm/trojaner k.a die seite mit dem virusscan. is das echt harmlos wenn ich das runterlade und mache? kann da nix gelöscht werden. @derbilk: is das unormal das das soviel ist? mit dem meisten kann ich auch nix anfangen. mit dem karstadt.de usw. naja hab den pc von karstadt-- --------------------------------------- edit: @mmk: und was macht der? wie krieg ich den los? @derbilk: was meinste mit "fixen" mit dem hijack? ne, oder? |
Diese Datei würde ich auch mal prüfen: C:\Dokumente und Einstellungen\Jennifer\Desktop\task.exe Löschen: O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - HKLM\..\Run: [Wupdate driver] WUPDATE.EXE O4 - HKCU\..\RunOnce: [Wupdate driver] WUPDATE.EXE O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe |
@mmk: wo soll ichs löschen? nach suchen? das task ding ist glaub ich das, weil ich die task datei doch auf den desktop kopiert hab, damit ichn öffnen kann. stand bei google irgendwo. so lässt er sich ja normal öffnen. aber nicht über strg+alt+entf die eine wupdate.exe datei die ich beim suchen gefunden hat, lässt sich ja nicht löschen, wie gesagt-- |
@jenny77: Bitte - der Reihe nach! Nicht so durcheinander. 1.) Stelle in >Systemsteuerung >Ordneroptionen ein, dass alle Dateien, auch versteckte und Systemdateien, stets angezeigt werden. 2.) Prüfe die besagte Datei bei besagtem Link. Es sollte dann der Wurm Spybot gemeldet werden. 3.) Lösche die Datei sowie die benannten Registry-Einträge und prüfe jene erst einmal, die ebenfalls hier im Thread benannt wurden. |
</font><blockquote>Zitat:</font><hr />Original erstellt von mmk: @jenny77: Bitte - der Reihe nach! Nicht so durcheinander. 1.) Stelle in >Systemsteuerung >Ordneroptionen ein, dass alle Dateien, auch versteckte und Systemdateien, stets angezeigt werden. 2.) Prüfe die besagte Datei bei besagtem Link. Es sollte dann der Wurm Spybot gemeldet werden. 3.) Lösche die Datei sowie die benannten Registry-Einträge und prüfe jene erst einmal, die ebenfalls hier im Thread benannt wurden. </font>[/QUOTE]OKOK!!! ging jetzt! ich lsöchs jetzt. hoffe es geht. wo finde ich die registry einträge????? |
</font><blockquote>Zitat:</font><hr />geht nicht, weil diese 1mb grenze nicht überschritten werden darf. aber bei mir im ordner wird angeezigt dass die datei nur 45kb groß ist.</font>[/QUOTE]Seltsam. Mit der 45 KB-Datei sollte es keine Probleme geben. Beende den laufenden Prozess dieser Malware, versuch's dann noch einmal. Es ist aber definitiv Malware. Löschen ist da also sicher kein Fehler. |
da steht die datei kann nicht gelöscht werden. zugriff wurde verweigert, entweder schreibgeschützt oder wird gerade verwendet. was mach ich denn jetzt? ;________; @mkk: ging dann ja. hatte net richtig geladen, glaub ich. aber kanns nicht löschen was macht der wurm, und woher konnte ich den bekommen? hab schiß |
soll ich beim taskmanager die wupdate.exe beenden oder wie löscht man da? |
@jenny77 1. ...wie bereits empfohlen wurde - Ruhe bewahren. 2. Starte dein Win im abgesichrten Modus (F8 beim Booten drücken, evtl. kurzfritig festhalten)+Administrator-Login (Kennwort - leere Zeile, nix eingeben). Dabei sollen nicht alle Dienste , die im Normalmodus ausgefürt werden müssen,starten, ich hoffe, dass dein Virus auch ruhig blebt und die Datei problemlos gelöscht werden kann. |
</font><blockquote>Zitat:</font><hr />Original erstellt von jenny77: soll ich beim taskmanager die wupdate.exe beenden oder wie löscht man da?</font>[/QUOTE]Exakt. Den entsprechenden Prozess auswählen, dann beenden. Anschließend die Datei aus dem System herauslöschen. </font><blockquote>Zitat:</font><hr />Original erstellt von jenny77: @mkk: ging dann ja. hatte net richtig geladen, glaub ich.</font>[/QUOTE]Und? Das Resultat? Spybot? </font><blockquote>Zitat:</font><hr />was macht der wurm, und woher konnte ich den bekommen? hab schiß</font>[/QUOTE]Das ist ein P2P-Wurm mit Backdoor-Fähigkeiten. Du hast ihn dir also selbst durch Ausführen einer Datei aus unseriöser Quelle installiert. Er ermöglicht es anderen, von Extern auf dein System zuzugreifen. [ 26. Dezember 2003, 23:38: Beitrag editiert von: mmk ] |
>2. Starte dein Win im abgesichrten Modus (F8 beim Booten drücken, evtl. kurzfritig festhalten)< normal starten und f8 gedrückt halten, ja? ich kenn micht echt net aus--# bei mir kommt auch immer 1-2 tage so ne zonealarm meldung wenn ich ins i-net geh. auf jeder seite über den ie. kann also nix im i-net machen. nur über aol. >+Administrator-Login (Kennwort - leere Zeile, nix eingeben).< wasn administrator-login?-- das was ich kanns am anfang mal eingegeben hab? >Dabei sollen nicht alle Dienste , die im Normalmodus ausgefürt werden müssen,starten, ich hoffe, dass dein Virus auch ruhig blebt und die Datei problemlos gelöscht werden kann. [/QB][/QUOTE] und was passiert dann? wie siehts danach aus? wie wenn ich windows normal gestartet hab, soll ich dann in den ordner gehn und versuchen zu löschen? wenn nicht, wie fahr ichs dann wieder runter? was ist wenn der virus nich ruhig bleibt? was kann denn passieren? sry, wegen den fragen-- |
</font><blockquote>Zitat:</font><hr />Original erstellt von mmk: </font><blockquote>Zitat:</font><hr />Original erstellt von jenny77: soll ich beim taskmanager die wupdate.exe beenden oder wie löscht man da?</font>[/QUOTE]Exakt. Den entsprechenden Prozess auswählen, dann beenden. Anschließend die Datei aus dem System herauslöschen.< da kommt so ne warnung dass das beenden von prozessen zu datenverlusten etc führen kann? soll ichs trotzdem beenden? </font><blockquote>Zitat:</font><hr />Original erstellt von jenny77: @mkk: ging dann ja. hatte net richtig geladen, glaub ich.</font>[/QUOTE]Und? Das Resultat? Spybot? Ja! </font><blockquote>Zitat:</font><hr />was macht der wurm, und woher konnte ich den bekommen? hab schiß</font>[/QUOTE]Das ist ein P2P-Wurm mit Backdoor-Fähigkeiten. Du hast ihn dir also selbst durch Ausführen einer Datei aus unseriöser Quelle installiert. Er ermöglicht es anderen, von Extern auf dein System zuzugreifen. </font>[/QUOTE]is da jetzt schon was passiert? ist ja schon seit dem 24. :( (((( kann ich den über winmx bekommen haben? |
</font><blockquote>Zitat:</font><hr />Original erstellt von jenny77: da kommt so ne warnung dass das beenden von prozessen zu datenverlusten etc führen kann? soll ichs trotzdem beenden?</font>[/QUOTE]Ja! </font><blockquote>Zitat:</font><hr />is da jetzt schon was passiert? ist ja schon seit dem 24. :( (((( kann ich den über winmx bekommen haben? </font>[/QUOTE]Ja und ja. Passwörter Ändern ist das Mindeste. |
</font><blockquote>Zitat:</font><hr />Original erstellt von mmk: </font><blockquote>Zitat:</font><hr />Original erstellt von jenny77: da kommt so ne warnung dass das beenden von prozessen zu datenverlusten etc führen kann? soll ichs trotzdem beenden?</font>[/QUOTE]Ja!< ok ich konnt die exe datei jetzt löschen. was ist mit dme registry? wo find ich das? </font><blockquote>Zitat:</font><hr />is da jetzt schon was passiert? ist ja schon seit dem 24. :( (((( kann ich den über winmx bekommen haben? </font>[/QUOTE]Ja und ja. Passwörter Ändern ist das Mindeste. </font>[/QUOTE]denkst du wirklich dass jetzt schon wer die passwörter etc weiß? ich hab die aber nirgends aufm pc stehn. wenn der wurm jetzt weg ist, hat dernjenige dann keinen zugriff mehr? |
der taskmanager lässt sich wieder normal öffnen!!!!!!! das mit gmt und dem andern ist in einem extra ordner drin mit allem möglichen kram. ich hab da jetzt nur die exe dateien übrprüfen lassen war alles ok. |
</font><blockquote>Zitat:</font><hr />Original erstellt von jenny77: Zitat:
Zitat:
NOCH EINE FRAGE! wenn ich jetzt windows nicht neu installiere, was könnte dann jetzt noch passieren. wenn der wurm jetzt komplett weg ist, hat man doch keinen zugriff mehr auf den pc..!? |
anwortet bitte noch wer, will off :( ca. 10min ich geh erstmal am besten gar nimmer on hier am pc und lass alles erstmal checken. ich versuch mal auf den alten laptop aol draufzuspielen. wenns geht, dann meld ich mich nochmal. danke für die hilfe. hätte das allein nie hingekriegt. weiß ich war nervig mit der fragerei. sorry nochmal @andreas |
</font><blockquote>Zitat:</font><hr />Original erstellt von jenny77: anwortet bitte noch wer, will off :( ca. 10min</font>[/QUOTE]Moment noch, bitte! ;) |
bin noch da. kurz also windows neu drauf kommt nicht in frage. :( und oben der kurze text mit der info. da steht doch das man nur windows neu drauf machen soll, wenn mans nicht geschafft hat alles zu löschen. |
Mahlzeit! Hatte mal einen ähnliche Mist drauf, und da hat nur noch formatieren genützt!!! |
wenn du ganz sicher bist das dein pc viren frei is dann änder deine passwörter (alle icq,ebay,email einfach alles) mach dir ne firewall rauf und gut is oO (achja anti viren programme auch^^) |
</font><blockquote>Zitat:</font><hr />Original erstellt von jenny77: ich geh erstmal am besten gar nimmer on hier am pc und lass alles erstmal checken.</font>[/QUOTE]Es kann nicht darum gehen, was Virenscanner oder sonstige noch finden. Meine Hinweise, die sich auf das Neuaufsetzen des Systems bezogen, basieren auf der Tatsache, dass während der Aktivität dieses Backdoors und über diesen Veränderungen am System vorgenommen worden sein könnten, die man kaum durch Prüfen nachvollziehen kann. Hinzu kommt die Problematik, dass all das, was du geschrieben hast, in diesen drei Tagen vom Keylogger gespeichert und anderen zugänglich gemacht wurde. Daraus resultiert die Empfehlung, Passwörter und Zugangsdaten zu ändern. Das ist Pflicht! </font><blockquote>Zitat:</font><hr />ich versuch mal auf den alten laptop aol draufzuspielen. wenns geht, dann meld ich mich nochmal.</font>[/QUOTE]Das bringt nur wenig, wenn dieser auch nicht besser abgesichert ist. </font><blockquote>Zitat:</font><hr />danke für die hilfe. hätte das allein nie hingekriegt. weiß ich war nervig mit der fragerei.</font>[/QUOTE]Kein Problem, aber Ruhe bewahren hilft in solchen Situationen am besten. Da du jetzt wenig Zeit hast, schreib ich den anderen Teil später. Schau morgen nochmal rein. |
</font><blockquote>Zitat:</font><hr />Original erstellt von Scud: mach dir ne firewall rauf und gut is oO (achja anti viren programme auch^^)</font>[/QUOTE]So einfach ist das leider nicht. |
also ich hab ne hardware firewall und bei mir war noch nie jemand aufm rechner und ich hatte bis jetzt auch erst ein virus oO |
vielleicht klingt die Frage jetzt dumm, aber was ist das??? =/ |
b]Hinzu[/b] kommt die Problematik, dass all das, was du geschrieben hast, in diesen drei Tagen vom Keylogger gespeichert und anderen zugänglich gemacht wurde. Daraus resultiert die Empfehlung, Passwörter und Zugangsdaten zu ändern. Das ist Pflicht!< ist das 100% sicher, dass das anderen zugängig gemacht wurde oder könnte das nur sein. hatte ja sowas schon geahnt, deswegen war ich auch nicht groß on und hab auch nich viel geschrieben. bis auf das jetzt hier und dem andern forum eigentlich. paar emails warens schon. mist-- icq hatte ich in derzeit nicht an..glaub ich zumindest-_- wenn ich alles nochmal durchchecken hab lassen, hat der aber keinen zugriff mehr auf neues, oder? kann bald nimmer. glaub ich geh erstma ins bett. [QUOTE]ich versuch mal auf den alten laptop aol draufzuspielen. wenns geht, dann meld ich mich nochmal.Das bringt nur wenig, wenn dieser auch nicht besser abgesichert ist. >auf dem laptop ist aber nur schrott drauf. da isses egal. und runterladen kann man da eh nix.< >Meine Hinweise, die sich auf das Neuaufsetzen des Systems bezogen, basieren auf der Tatsache, dass während der Aktivität dieses Backdoors und über diesen Veränderungen am System vorgenommen worden sein könnten, die man kaum durch Prüfen nachvollziehen kann.< was für veränderungen könnten das sein? das mit dem laptop wird bis montag mindestens nix, wie gesagt altes teil. denke da geht mit dsl usw. net so einfach. danke nochmal! zum glück hab ich das forum hier gefunden-- [ 27. Dezember 2003, 01:58: Beitrag editiert von: jenny77 ] |
</font><blockquote>Zitat:</font><hr />Original erstellt von jenny77: ist das 100% sicher, dass das anderen zugängig gemacht wurde oder könnte das nur sein.</font>[/QUOTE]Dass über diesen Backdoor die Möglichkeit besteht, ist sicher. Darauf ist er ja schließlich unter anderem auch ausgelegt. Was nun im Detail wie verwendet oder missbraucht wurde, ist freilich nicht feststellbar. Aber alleine die Tatsache, dass das Ausspionieren der Daten möglich bis sehr wahrscheinlich ist, verpflichtet bereits dazu, mindestens die besagten Daten und Passwörter allesamt zu ändern. </font><blockquote>Zitat:</font><hr />wenn ich alles nochmal durchchecken hab lassen, hat der aber keinen zugriff mehr auf neues, oder?</font>[/QUOTE]Diese Aussage ist wirklich nur dann sicher, wenn du wie empfohlen formatierst und neu aufsetzt sowie dann vor der ersten Internetverbindung ausreichende Maßnahmen zur Absicherung triffst. Das geschieht sinnvoller Weise jedoch nicht, wie hier zwischendrin empfohlen, durch Installation von "Virenscanner und Firewall", sondern durch weiter reichende Maßnahmen. Unter anderem eben auch, dass man nicht jede Datei unbedacht ausführt - schon gar nicht, wenn diese aus unseriösen Quellen stammen. </font><blockquote>Zitat:</font><hr />was für veränderungen könnten das sein?</font>[/QUOTE]Aufgrund dieser Beschreibung: </font><blockquote>Zitat:</font><hr /> * Browse files on the compromised system * Execute a file remotely</font>[/QUOTE]...im Grunde alles Erdenkliche. Installation weiterer, unbekannter Malware, Austausch / Ersetzen von Dateien, etc. </font><blockquote>Zitat:</font><hr />danke nochmal!</font>[/QUOTE]Bitte! |
> also ich hab ne hardware firewall und bei mir war noch nie jemand aufm rechner und ich hatte bis jetzt auch erst ein virus oO Warum sollte dich eine Hardware-Firewall besser vor Backdoors schuetzen? Wenn die Backdoor geschickt programmiert ist kann es genauso einfach "nach Hause telefonieren". Einfach den Traffic über Port 80 leiten und als normaler HTTP-Transfer tarnen. Deswegen finde ich auch immer die Behauptung so lustig, das ein Linux Router oder eine andere Hardware-Loesung *viel* sicherer wäre als eine Software Firewall. Sicher, man kann das Teil nicht vom PC aus manipulieren - dafür kann der Router aber auch kaum feststellen, welches Programm welchen Traffic verursacht. |
Moin, erst einmal sorry, dass ich mich gestern Abend einfach so ausgeklinkt habe, ist sonst nicht meine Art, aber 'manchmal' geht das reale Leben vor. Dann möchte ich mich insbesondere bei mmk und SkeeveDCD für die weitergehende Unterstützung bedanken. [img]graemlins/daumenhoch.gif[/img] @Jenny, bei allem was sich auf Deinem Rechner tummelt /getummelt hat, wäre jeder andere Rat, als eine Neuinstallation des Betriebssystem fahrlässig!! Außerdem ist es wirklich zwingend notwendig, dass Du Deine Passwörter (z.B. Mail, eBay, ...) änderst, da diese durchaus von anderen jetzt missbraucht werden können!! Schau dir mal diesen Thread an. Meine Ratschläge gelten für Dich analog. tschööö, DerBIlk |
</font><blockquote>Zitat:</font><hr />Original erstellt von jenny77: ok ich konnt die exe datei jetzt löschen.</font>[/QUOTE]OK, gut so. Jetzt müssen noch die verbliebenen Registry-Einträge entfernt werden. Das geht mit HijackThis über das gezielte Setzen von Häkchen und "Fix checked". Zu löschen also: O4 - HKLM\..\Run: [Wupdate driver] WUPDATE.EXE O4 - HKCU\..\RunOnce: [Wupdate driver] WUPDATE.EXE Sowie auch (ist alles Adware): O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe C:\Programme\Gemeinsame Dateien\GMT\GMT.exe </font><blockquote>Zitat:</font><hr />denkst du wirklich dass jetzt schon wer die passwörter etc weiß? ich hab die aber nirgends aufm pc stehn. wenn der wurm jetzt weg ist, hat dernjenige dann keinen zugriff mehr? </font>[/QUOTE]Was ich denke, ist nicht so wichtig. Vielmehr weiß ich, dass ich von hier aus nicht sicher sagen, inwieweit Veränderungen durch den Backdoor während seiner Aktivität vorgenommen wurden. Auszuschließen ist es jedenfalls nicht. Siehe hier: http://www.trendmicro.com/vinfo/viru...ORM_SPYBOT.GEN Ich an deiner Stelle würde übrigens das System komplett neu aufsetzen. Edit: Warum das Ganze? Nun, siehe hier: http://www.trendmicro.com/vinfo/viru...OT.GEN&VSect=T </font><blockquote>Zitat:</font><hr />Zitat: Once active, this malware attempts to connect to an IRC server, where it joins a channel. While in IRC, it is able to receive commands from remote users, who are consequently able to perform the following: * Remotely activate a Web server on the compromised system * Retrieve system information, such as CPU, memory, disk and operating system details * Browse files on the compromised system * Execute a file remotely * Use the compromised system to flood other hosts * Open/Close the CD-ROM drive * Activate a key logger remotely * Terminate processes running on the compromised system </font>[/QUOTE] [ 27. Dezember 2003, 00:11: Beitrag editiert von: mmk ] |
</font><blockquote>Zitat:</font><hr />Original erstellt von mmk: [QB] Zitat:
O4 - HKLM\..\Run: [Wupdate driver] WUPDATE.EXE O4 - HKCU\..\RunOnce: [Wupdate driver] WUPDATE.EXE Sowie auch (ist alles Adware): O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe C:\Programme\Gemeinsame Dateien\GMT\GMT.exe< das gmt und cmeii zeugs wirklich? das ist in nem extra ordner gleichen namens mit ganz viel zeugs drin, aber als änderungsdatum märz 2002, da hatte ich den pc noch gar nicht. die x.exe datei die ich gestern schon gelöscht hat, hat doch dann bestimmt auch noch solche registry einträge, oder doch nicht? die und die wupdate hatten das gleiche änderungsdatum und uhrzeit. ich war am 24. erst nach 21uhr on, hatte winmx oder sonstiges nicht an, hab eben nur auf der einen seite die beiden wav clips runtergeladen. dann kanns doch nur daher kommen oder? über die pop-ups geht ja nicht. irc hab ich schon ewig nimmer geöffnet. >Was ich denke, ist nicht so wichtig. Vielmehr weiß ich, dass ich von hier aus nicht sicher sagen, inwieweit Veränderungen durch den Backdoor während seiner Aktivität vorgenommen wurden. Auszuschließen ist es jedenfalls nicht.< und was bedeutet das? wie seh ich ob veränderungen vorgenommen wurden? das geht doch nur in der zeit wenn ich on bin, oder ist das egal? kann jetzt im nachhinein noch was passieren? ich hab mal wo was gelesen, dass da auch alle tasten die benutzt wurden abgerufen werden können. war das bei dem wurm jetzt der fall, oder gabs da "nur"-- nen zugriff auf meinen pc? ------------- edit: das ganze windows neu drauf? ne, oder? :( ((( |
>Once active, this malware attempts to connect to an IRC server, where it joins a channel. While in IRC, it is able to receive commands from remote users, who are consequently able to perform the following: * Remotely activate a Web server on the compromised system * Retrieve system information, such as CPU, memory, disk and operating system details * Browse files on the compromised system * Execute a file remotely * Use the compromised system to flood other hosts * Open/Close the CD-ROM drive * Activate a key logger remotely * Terminate processes running on the compromised system< aber wenns doch nicht mehr aufm pc ist, geht das doch nicht mehr, oder? und dann ging doch vorher nur wenn ich on war oder immer? |
</font><blockquote>Zitat:</font><hr />Original erstellt von jenny77: das gmt und cmeii zeugs wirklich? das ist in nem extra ordner gleichen namens mit ganz viel zeugs drin, aber als änderungsdatum märz 2002, da hatte ich den pc noch gar nicht.</font>[/QUOTE]Ja, das ist Adware. Spybot Search and Destroy (hat nichts mit dem Wurm Spybot zu tun!) sollte diese Adware erkennen und entfernen: http://security.kolla.de </font><blockquote>Zitat:</font><hr />die x.exe datei die ich gestern schon gelöscht hat, hat doch dann bestimmt auch noch solche registry einträge, oder doch nicht?</font>[/QUOTE]Nein, sie kann z.B. als Dropper fungiert haben. </font><blockquote>Zitat:</font><hr />...hatte winmx oder sonstiges nicht an, hab eben nur auf der einen seite die beiden wav clips runtergeladen. dann kanns doch nur daher kommen oder? über die pop-ups geht ja nicht.</font>[/QUOTE]Es muss eine ausführbare Datei gewesen sein. Und diese stammt aus unseriöser Quelle. Dateitauschbörsen wären dafür typisch. Weißt du die Seite noch, wo es die wav-Dateien gab? </font><blockquote>Zitat:</font><hr />irc hab ich schon ewig nimmer geöffnet.</font>[/QUOTE]Das hat mit diesem Wurm / Backdoor nichts zu tun. Er ist darauf nicht angewiesen. ;) </font><blockquote>Zitat:</font><hr />und was bedeutet das? wie seh ich ob veränderungen vorgenommen wurden?</font>[/QUOTE]Zweifelsfrei wirst du es nicht feststellen können. </font><blockquote>Zitat:</font><hr />das geht doch nur in der zeit wenn ich on bin</font>[/QUOTE]Ja. </font><blockquote>Zitat:</font><hr />kann jetzt im nachhinein noch was passieren?</font>[/QUOTE]Das hängt davon ab, inwieweit die Palette der Möglichkeiten, die über Spybot zur Verfügung stehen, ausgenutzt wurden (Passwortklau, Versand vom Spam über deinen PC, etc.) </font><blockquote>Zitat:</font><hr />ich hab mal wo was gelesen, dass da auch alle tasten die benutzt wurden abgerufen werden können. war das bei dem wurm jetzt der fall, oder gabs da "nur"-- nen zugriff auf meinen pc?</font>[/QUOTE]Richtig. Du meinst einen Keylogger. Dieser ist in der Tat _ein_ Feature dieses Backdoors. |
aber wenn ich jetzt off war und bin, hat dann immer noch jemand zugriff auf den pc?? wenn man windows neu installiert, ist doch alles vorher gespeicherte weg, oder? hier http://www.trendmicro.com/vinfo/viru...ORM_SPYBOT.GEN auf der seite steht doch NOTE: If you were not able to terminate the malware process from memory as described in the previous procedure, restart your system.< aber das memory zeugs war doch das mit dem registry oder nicht? |
</font><blockquote>Zitat:</font><hr />kann jetzt im nachhinein noch was passieren?</font>[/QUOTE]Das hängt davon ab, inwieweit die Palette der Möglichkeiten, die über Spybot zur Verfügung stehen, ausgenutzt wurden (Passwortklau, Versand vom Spam über deinen PC, etc.)[/QUOTE] * Remotely activate a Web server on the compromised system * Retrieve system information, such as CPU, memory, disk and operating system details * Browse files on the compromised system * Execute a file remotely * Use the compromised system to flood other hosts * Open/Close the CD-ROM drive * Activate a key logger remotely * Terminate processes running on the compromised system< aber das ist doch jetzt gestoppt, dadurch dass ichs gelöscht hab, oder? sag ja-____- jetzt hat doch keiner merh zugriff auf den pc`???? |
</font><blockquote>Zitat:</font><hr />das ganze windows neu drauf? ne, oder? :( (((</font>[/QUOTE]Das würde es in letzter Konsequenz bedeuten, ja. </font><blockquote>Zitat:</font><hr />aber wenns doch nicht mehr aufm pc ist, geht das doch nicht mehr, oder?</font>[/QUOTE]Der Knackpunkt ist, dass man NICHT mit letzer Sicherheit sagen kann, dass durch die Entfernung der verursachenden Datei nun weitere Auswirkungen auszuschließen sind. </font><blockquote>Zitat:</font><hr />und dann ging doch vorher nur wenn ich on war oder immer?</font>[/QUOTE]Ein Keylogger kann alles, was du offline schreibst speichern und dann, wenn du wieder online gehst, diese gespeicherten Daten demjenigen, der Zugriff auf dein System hat, zur Verfügung stellen. |
wenn man windows neu installiert, ist das alles was ich jetz drauf hab, weg? >Ein Keylogger kann alles, was du offline schreibst speichern und dann, wenn du wieder online gehst, diese gespeicherten Daten demjenigen, der Zugriff auf dein System hat, zur Verfügung stellen.< und das geht jetzt immer noch????? |
> wenn man windows neu installiert, ist das > alles was ich jetz drauf hab, weg? Ja, aber wenn du dich nicht richtig schuetzt, hast du den gleichen Muell recht schnell wieder auf dem Rechner. > und das geht jetzt immer noch????? Wenn du die gleichen Passwörter benutzt wie vorher, klar. Wenn du z.B. eBay gemacht hast und dein Username/Passwort wurde mitprotokolliert kann man das ja von jedem PC aus nutzen. Deshalb solltest du so schnell wie möglich alle verwendeten Passwörter abändern - wenn sicher ist das dein PC jetzt sauber ist. |
Um es zusammen zu fassen: 1. Der Wurm dürfte weg sein, jedoch kann das von hier aus nicht 100%ig garantiert werden. 2. Der Wurm könnte deine Daten versendet haben, jedoch ist das nicht 100%ig sicher. 3. Ein User könnte deinen PCs in der Zeit auch andersweitig verändert haben, das ist aber nicht 100%ig sicher. Fazit: Die Symptome sind behoben, aber es bleibt eine gewisse Unsicherheit. Wie du diese Unsicherheit abstellen kannst, wurde hier gesagt (System neu aufsetzen, Passwörter ändern etc.). Ob du sie nun abstellst, musst du ganz alleine entscheiden. Sorry, aber jeder muss selber wissen, ob er für ein "vielleicht ist ja nun wieder alles gut" seine Existenz aufs Spiel setzen möchte. Sicherlich stehen deine Chancen dass doch noch alles gut ausgeht nicht schlecht, aber willst du dich darauf verlassen? Diese Entscheidung kann dir hier niemand abnehmen, auch wenn du das gerne möchtest. [img]smile.gif[/img] Andreas |
[QUOTE]Original erstellt von SkeeveDCD: [qb] > wenn man windows neu installiert, ist das > alles was ich jetz drauf hab, weg? Ja, aber wenn du dich nicht richtig schuetzt, hast du den gleichen Muell recht schnell wieder auf dem Rechner.< dann kann ich windows nicht neu installieren. >> und das geht jetzt immer noch?????< Wenn du die gleichen Passwörter benutzt wie vorher, klar. Wenn du z.B. eBay gemacht hast und dein Username/Passwort wurde mitprotokolliert kann man das ja von jedem PC aus nutzen. < Deshalb solltest du so schnell wie möglich alle verwendeten Passwörter abändern - wenn sicher ist das dein PC jetzt sauber ist. isses jetzt nicht sicher, oder wie? -.- es kann doch aber auch sein, dass noch nix passiert ist, oder? ab wann kann man da sicher sein. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 02:33 Uhr. |
Copyright ©2000-2025, Trojaner-Board