Hi, es eilt, deswegen schau ich nicht erst, ob´s dazu schon ein Thread gibt. Kaspersky gibt mir folgendes: C:/winnt/system32/ipcNL.exe infiziert Win32 Xorala Name des virus: Trojan.Spy.PCGhost.413 diese ipcNL.exe befindet sich noch im System 32 ordner ---> kann ich die löschen???? Was habe ich sonst noch zu tun? Welche Einstellung ist ratsam bei Kaspersky? Infizierte Datein automatisch löschen? Gerate schon wieder in Panik, habe andauernd Trojaner drauf - bitte um Hilfe... |
Hier nochmal genauere Angaben: Scanner 28.07.2003 19:30:04 C:\WINNT\system32\debug.exe Gepackt: ExePack C:\WINNT\system32\dtcsetup.exe Archiv: CAB C:\WINNT\system32\edit.com Gepackt: ExePack C:\WINNT\system32\edlin.exe Gepackt: ExePack C:\WINNT\system32\exe2bin.exe Gepackt: ExePack C:\WINNT\system32\fastopen.exe Gepackt: ExePack C:\WINNT\system32\fastopen.exe Gepackt: Com2Exe C:\WINNT\system32\ipcNL.exe Gepackt: UPX C:\WINNT\system32\ipcNL.exe Archiv: RAR C:\WINNT\system32\ipcNL.exe/replace.bat Infiziert: Worm.Win32.Muma.b C:\WINNT\system32\ipcNL.exe/10.BAT Infiziert: Worm.Win32.Muma.b C:\WINNT\system32\ipcNL.exe/hack.bat Infiziert: Worm.Win32.Muma.b C:\WINNT\system32\ipcNL.exe/ipc.bat Infiziert: Worm.Win32.Muma C:\WINNT\system32\ipcNL.exe/MUMA.BAT Infiziert: Worm.Win32.Muma.b C:\WINNT\system32\ipcNL.exe/NEAR.BAT Infiziert: Worm.Win32.Muma.b C:\WINNT\system32\ipcNL.exe/RANDOM.BAT Infiziert: Worm.Win32.Muma C:\WINNT\system32\ipcNL.exe/SS.BAT Infiziert: Worm.Win32.Muma.b C:\WINNT\system32\ipcNL.exe/START.BAT Infiziert: Worm.Win32.Muma.b C:\WINNT\system32\ipcNL.exe/HFind.exe Gepackt: ASPack C:\WINNT\system32\ipcNL.exe/HFind.exe Gepackt: UPX C:\WINNT\system32\ipcNL.exe/HFind.exe Infiziert: HackTool.Win32.Hucline C:\WINNT\system32\ipcNL.exe/ntservice.exe Gepackt: ASPack C:\WINNT\system32\ipcNL.exe/ntservice.exe Gepackt: UPX C:\WINNT\system32\ipcNL.exe/NWIZE.EXE Gepackt: ASPack C:\WINNT\system32\ipcNL.exe/NWIZE.EXE Gepackt: ASPack C:\WINNT\system32\ipcNL.exe/NWIZE.EXE Infiziert: Trojan.Spy.PcGhost.413 C:\WINNT\system32\ipcNL.exe/psexec.exe Gepackt: UPX |
Du hast dir eine Variante des Mailwurms MUMU gefangen. Da noch etliche weitere Dateien dazu gehören wird es mit dem Löschen der einen EXE nicht getan sein. |
Was rätst du mir also? Lass mich doch büdde nicht so im Regen stehen :confused: |
Edit: Sorry, hatte nur flüchtig gelesen. |
Wie meinst du das, Markus? Sorry, wenn ich immer wieder so dumm nachfrage, aber ich bin kein PC-Experte, geschweige denn, das ich mich mit Trojaner etc auskenne!? Mhm, wo is denn dein Beitrag hin? |
</font><blockquote>Zitat:</font><hr />Original erstellt von seahorse: Wie meinst du das, Markus? Mhm, wo is denn dein Beitrag hin? </font>[/QUOTE]Sorry, hatte zunächst nicht aufmerksam genug gelesen. Die Malwaredatei ist unter anderem natürlich zu löschen, zusätzlich aber auch zugehörige Registry-Einträge. |
Unter Malwaredatei ist also die ipcNl.exe gemeint, korrekt? Wie finde ich zugehörige Registry-Einträge? Bitte mal für Dummies erklären :D Danke |
</font><blockquote>Zitat:</font><hr />Original erstellt von seahorse: Unter Malwaredatei ist also die ipcNl.exe gemeint, korrekt?</font>[/QUOTE]Ja, genau. Weitere Infos zur Entfernung, unter anderem zu den Registry-Einträgen, siehe hier: http://www.f-secure.com/v-descs/muma.shtml [ 28. Juli 2003, 21:11: Beitrag editiert von: mmk ] |
Einfach erstmal alles löschen, was infiziert ist. Dabei reicht es offenbar, die 'ipcNL.exe' zu löschen, da es ein Archiv ist, in dem alle anderen Wurm-Komponenten enthalten sind. Danach auf jeden Fall nochmals mit KAV scannen. Weitere Infos (mit weiterführenden Links zum weiteren Vorgehen) hier: http://www.pctip.ch/helpdesk/virenti...chiv/24536.asp Außerdem solltest du deine Netzwerk-Shares absichern (dazu steht auch was im o.g. Link.) [img]smile.gif[/img] |
So, habe die exe im abgesicherten Modus löschen können (Papierkorb ist auch leer) Eure Links sind leider zum größten Teil englisch ~ da verstehe ich nur Bahnhof. Ich hab´s jetzt so verstanden, das "mein" Wurm lediglich 2 Dateien hatte: zum einen die Exe und dann die NTSERVICE.BAT - Datei. Die kann (muss) ich auch löschen, richtig? |
</font><blockquote>Zitat:</font><hr />Original erstellt von seahorse: So, habe die exe im abgesicherten Modus löschen können</font>[/QUOTE]OK, nun mach einen Scan des kompletten Rechners mit Kaspersky. Vergiss nicht, zuvor die Signaturen auf den aktuellsten Stand zu bringen. Dann kannst du hier den Report posten, anhand dessen man dann sagen kann, was ggf. noch gelöscht werden muss. |
Kaspersky hat 2 beschädigte Dateien gefunden ( nur nicht gesagt, wo!). Hier die einzige Stelle, die mir im Scan komisch vorkommt: C:\WINNT\system32\config\default Lesezugriff verweigert. C:\WINNT\system32\config\default.LOG Lesezugriff verweigert. C:\WINNT\system32\config\default.sav Ok. C:\WINNT\system32\config\SAM Lesezugriff verweigert. C:\WINNT\system32\config\SAM.LOG Lesezugriff verweigert. C:\WINNT\system32\config\SecEvent.Evt Ok. C:\WINNT\system32\config\SECURITY Lesezugriff verweigert. C:\WINNT\system32\config\SECURITY.LOG Lesezugriff verweigert. C:\WINNT\system32\config\software Lesezugriff verweigert. C:\WINNT\system32\config\software.LOG Lesezugriff verweigert. C:\WINNT\system32\config\software.sav Ok. C:\WINNT\system32\config\SysEvent.Evt Ok. C:\WINNT\system32\config\system Lesezugriff verweigert. C:\WINNT\system32\config\SYSTEM.ALT Lesezugriff verweigert. Und diese Batch Datei hab ich noch nicht gelöscht, weil von euch niemand was dazu gesagt hat. Hatte in letzter Zeit so viele PC Probs, das ich nix mehr lösche ohne nachzufragen ;) |
</font><blockquote>Zitat:</font><hr />Original erstellt von seahorse: Und diese Batch Datei hab ich noch nicht gelöscht, weil von euch niemand was dazu gesagt hat. Hatte in letzter Zeit so viele PC Probs, das ich nix mehr lösche ohne nachzufragen ;) </font>[/QUOTE]Du kannst die Datei löschen. Solltest Du sogar. Wenn Du Dich nicht gleich traust, benenne diese doch zunächst um (z. B. Extension .txt). Wenn das System dann stabil läuft, kannst Du sie immer noch löschen. Welches Betriebssystem läuft überhaupt? Vermutlich Win NT oder 2000... </font><blockquote>Zitat:</font><hr /> Kaspersky hat 2 beschädigte Dateien gefunden ( nur nicht gesagt, wo!). Hier die einzige Stelle, die mir im Scan komisch vorkommt: </font>[/QUOTE]Diese Stelle ist harmlos und keineswegs besorgniserregend. Steht im Report nicht, welche Dateien beschädigt waren? Beschädigte Dateien gibt es aber auf so gut wie jeder Festplatte, also auch kein Grund zur Beunruhigung. Hast Du bei KAV aktuelle Signaturen verwendet und alle Dateien sowie alle Laufwerke gescannt? Wenn ja, dann sollte Dein Rechner jetzt Clean sein. Du müsstest eben nur noch die Backups und Wechseldatenträger durchscannen. </font><blockquote>Zitat:</font><hr /> Gerate schon wieder in Panik, habe andauernd Trojaner drauf - bitte um Hilfe... </font>[/QUOTE]Das ist nicht normal. Versuche mal, Dein System ein bisschen besser abzusichern und Dein Verhalten in bezug auf Internetsicherheit zu überdenken. |
</font><blockquote>Zitat:</font><hr />Original erstellt von FataMorgana: Du kannst die Datei löschen. Solltest Du sogar. Wenn Du Dich nicht gleich traust, benenne diese doch zunächst um (z. B. Extension .txt). Wenn das System dann stabil läuft, kannst Du sie immer noch löschen.</font>[/QUOTE]Okay, ich hab sie erstmal umbenannt. Läuft morgen noch alles einwandfrei, lösche ich ! </font><blockquote>Zitat:</font><hr />Original erstellt von FataMorgana: Welches Betriebssystem läuft überhaupt? Vermutlich Win NT oder 2000...</font>[/QUOTE]Jepp, Win 2000 </font><blockquote>Zitat:</font><hr /> Steht im Report nicht, welche Dateien beschädigt waren? Beschädigte Dateien gibt es aber auf so gut wie jeder Festplatte, also auch kein Grund zur Beunruhigung.</font>[/QUOTE]Nein, steht nichts genaueres! </font><blockquote>Zitat:</font><hr /> Du müsstest eben nur noch die Backups und Wechseldatenträger durchscannen.</font>[/QUOTE]Was meinst du mit Backups? </font><blockquote>Zitat:</font><hr /> Versuche mal, Dein System ein bisschen besser abzusichern und Dein Verhalten in bezug auf Internetsicherheit zu überdenken. [/QB]</font>[/QUOTE]Also ich lade nicht wahllos irgendwas herunter, habe Outlook express schon durch The Bad ausgetauscht, Kaspersky und At Guard läuft. Viel mehr kann man doch nu wirklich nicht machen, oder? |
</font><blockquote>Zitat:</font><hr />Original erstellt von seahorse: Was meinst du mit Backups?</font>[/QUOTE]Ich nehme an, dass Du gelegentlich Sicherungskopien Deines Rechners erstellst. Diese würde ich auch auf Malware-Befall prüfen. Du weißt ja nicht, wie lange der Wurm schon da ist. </font><blockquote>Zitat:</font><hr /> Also ich lade nicht wahllos irgendwas herunter, habe Outlook express schon durch The Bad ausgetauscht, Kaspersky und At Guard läuft. Viel mehr kann man doch nu wirklich nicht machen, oder? </font>[/QUOTE]Kein schlechter Anfang. Wie sieht es mit Patches (Sicherheitsupdates) aus? Kommen die Trojaner vielleicht via Filesharing rein? Gibt es Netzwerkfreigaben? AtGuard kannst Du eigentlich auch wieder deinstallieren. |
</font><blockquote>Zitat:</font><hr />Original erstellt von FataMorgana: Du weißt ja nicht, wie lange der Wurm schon da ist. </font>[/QUOTE]Doch, in diesem Fall weiß ich es genau, weil mein Rechner gerade erst neu aufgespielt wurde :) </font><blockquote>Zitat:</font><hr />Kein schlechter Anfang. Wie sieht es mit Patches (Sicherheitsupdates) aus? Kommen die Trojaner vielleicht via Filesharing rein? Gibt es Netzwerkfreigaben? AtGuard kannst Du eigentlich auch wieder deinstallieren. </font>[/QUOTE]Patches mach ich, Filesharing fast nie, Netzwerkfreigaben?? Öhm, da müsste ich schon genauer wissen was du meinst (Datei und Druckerfreigabe für Microsoft-Netzwerke sind deaktiviert!). Und wieso soll ich AtGuard deinstallieren? Welche Alternative gibt´s außer Norton? |
</font><blockquote>Zitat:</font><hr />Original erstellt von seahorse: Netzwerkfreigaben?? Öhm, da müsste ich schon genauer wissen was du meinst (Datei und Druckerfreigabe für Microsoft-Netzwerke sind deaktiviert!).</font>[/QUOTE]Genau das meinte ich. </font><blockquote>Zitat:</font><hr /> Und wieso soll ich AtGuard deinstallieren? Welche Alternative gibt´s außer Norton? </font>[/QUOTE]Die Frage ist, was Dir AtGuard genau bringen soll. Hast Du darauf eine Antwort? Wenn nicht, ist es nur unnötiger Ballast, den man auch deinstallieren kann. Wenn ich Dein System richtig überblicke, werden ohnehin keine Dienste nach außen angeboten, so dass Du auf eine Firewall getrost verzichten kannst. Auf eine Desktop Firewall sowieso. Die Alternative zu AtGuard wäre also gar keine Firewall. Wenn es denn eine sein muss, würde ich auch nicht gerade AtGuard verwenden. Völlig veraltet, das Teil. Aber jedem das seine... |
Alle Zeitangaben in WEZ +1. Es ist jetzt 21:02 Uhr. |
Copyright ©2000-2024, Trojaner-Board