|
Intrusion.Win.MSSQL.worm.Helkern - Kaspersky Warnung Erst einmal schönen Morgen/Tag/Abend. Wie in der Überschrift zu lesen: Kaspersky warnt mich vor einem Angriff namens: Intrusion.Win.MSSQL.worm.Helkern . Ob es nun geglückt ist, oder erfolgreich abgewehrt wurde, kann ich nicht sagen. Ich hatte schon seit November ein Problem mit Viren, bis ich die Hoffnung aufgegeben habe, und Win neuinstallierte.... . Da ich nicht alle wichtigen Daten brennen konnte o.ä., habe ich Sie in die E:\ Partition geschoben, in der ich noch nie Dateien abgelegt hatte... . Ich habe Windows in E:\ installiert und versucht C:\ zu formatieren. 2 Dateien haben mich das zu verhindern gewusst. Die erste war von Acrobat Player, welche ich mit Hilfe von google und "Ausschneiden + Kopieren" löschen konnte. Die andere ist: 3284. Der genaue Pfad: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\hsperfdata_Administrator\3284. Diese Datei kann ich weder verschieben, kopieren, umbenennen und vor allem nicht löschen!!! Zurück zum eigentlichen Grund... . Der Angriff kommt immer von einer anderen IP, bei meiner rechaerchen habe ich heraus gefunden, dass es BOTs wären.... und zu meist aus China kommen sollen. In diesem Board habe ich einen ähnlichen Thread gefunden, wollte aber nicht dort um Hilfe beten, dort wurde nach einem Scan-Log mit eScan verlangt. Den Poste ich dann mal: Zitat:
Hier noch HiJackThis Zitat:
Hoffe habe jetzt nicht mehr gespammt als positiv und informativ gepostet :rolleyes: Nunja, habe auch nach gelesen, viele bekommen dies lediglich im warsten Sinne des Wortes nur zur Warnung , möchte dennoch auf sicher gehen, vor allem da ich vor 2 Wochen noch Trojanische Pferde auf dem PC hatte... . Würde mich über Hilfe ausser: Ist nichts, keine Sorge freuen. Die goldenen Regeln fordern das hier: Mein Betriebssystem ist Windows XP Professional OEM SP2 Zudem verwende ich Firefox v.2.0.0.20, Kaspersky 7.0.1.325, mehr fällt mir nicht ein, was vlt. relevant sein könnte. Danke Leute, :) |
Hi, Zitat:
http://www.trojaner-board.de/67282-i...m-helkern.html http://www.trojaner-board.de/62523-i...m-helkern.html http://www.trojaner-board.de/41814-i...m-helkern.html Gruß, Karl |
Mein Problem ist nur, woher weiß ich, dass der Angriff abgewehrt wurde? Zu dem habe ich da noch fragen: Meine Maus der Marke Genius - eine Usb Maus - lässt meinen PC sich aufhängen. Sprich wenn ich Hochfahre, wo der Prozessor Master - Slave etc. auf gezählt werden, läuft der PC nicht, wenn die Maus angeschlossen ist. Anderes Problem: Oben habe ich einen Pfad genannt, diese Datai 3784 oder so, lässt sich beim besten willen nicht löschen, habe schon X Progis probiert.. Danke |
Zitat:
Irgendein Rechner, auf dem ein SQL-Server betrieben wird, ist durch den Wurm Helkern ( er wird auch als SQL-Slammer oder Sapphire bezeichnet ) infiziert. Der Wurm versucht nun, sich weiterzuverbreiten und andere SQL-Server zu infizieren. Das versucht er, indem er komplette IP-Adressbereiche abscannt und so sozusagen nach Rechnern sucht, die die entsprechende Sicherheitslücke noch nicht geschlossen haben. Netzwerkwürmer wie Blaster und Sasser machen dasselbe. Sie "suchen" nach Rechnern ( durch das Scannen der IP-Adressbereiche ) und infizieren auf diese Weise Rechner, denen die notwendigen Sicherheits-Updates fehlen. Man kann somit diese Meldung von Kaspersky deaktivieren und dann ist Ruhe. ;) |
Der Helkern ist damit ja wohl erledigt. Bei diesen Firewalls sollte man sich nur Sorgen um die Sachen machen, die sie nicht erkennen. Die melden sie dann aber auch nicht, also wird man sich keine Sorgen machen :D Bei der Datei fallen mir zwei Varianten ein: Entweder Du hast durch die Neuinstallation keine Zugriffsrechte mehr drauf. Es wurden neue Benutzer angelegt, die nicht automatische die Rechte der Benutzer aus der alten Windowsinstallation erben. Der Administrator hat aber das Recht, solche besitzerlos gewordenen Dateien zu übernehmen, dann kann er sie auch löschen. Oder die Datei ist durch Windows blockiert. Windows braucht eine ganze Menge Dateien und wenn es nicht will, dass jemand anders an denen herumpfuscht, dann öffnet es sie exklusiv wodurch verhindert wird, dass andere Programme drauf zugreifen können. Eigentlich sollte man sie auf E: erwarten, aber Du hast da ein System aufgesetzt, dass sich über mehrere Platten erstreckt. In deinen Logs gibt es mehr Einträge, die auf C: zeigen. Und was ist das? Code: O20 - Winlogon Notify: Antiwpa - E:\WINDOWS\SYSTEM32\antiwpa.dll |
Sags mir :singsing: .... Zum anderen.... Also, da ich erst beim 4. Anlauf WinXP installieren konnte, hatte ich nen Kollegen darum gebeten es auf E: zu machen, war ja eig. am Installieren, er hat mich nur korrigiert und aufgepasst... Da es, wie gesagt, erst beim 4. Versuch geklappt hat, habe ich es auf E gemacht, denn wenn es dann wieder nicht klappt, habe ich noch das alte BS auf C... Nun ja, war schwierig Win zu finden, welche auch eine OEM vers. ist. Ein Kollege hat diese dann besorgen können, den Key bzw. License hängt ja als Sticker auf meinem Gehäuse.... Danach hat er das XP eingestellt oder so, und ist gegangen... . Als er weg war, wollte ich C formatieren. Da dies nicht geklappt hat, habe ich alles einzelnd gelöscht, bis ich auf diese Datei kam... Sie indentifiziert sich nicht als Datei irgendeines Programms und diese Datei ist eine "Datei", mehr nicht..... ---falls ihr mich nicht versteht, bei MP3 steht MP3-Datei und bei WMA steht Audio-Datei oder so.... Und wegen den anderen Logs auf C, kann nur SiSoft Sandra sein... . Ansonten wüsste ich nicht, was sonst, weil sonst nix drauf ist, ausser dieser kuriosen Datei. Aber trotzdem mal :dankeschoen::dankeschoen::dankeschoen: =) Da ich oben noch fragen hätte... könntet ihr mir die gerade noch beantworten? :rolleyes: - Wieso lässt meine Maus meinen PC aufhängen, wenn er bootet? - Wie kann ich diese Datei löschen, die nicht mal im Gebrauch ist? Ciao :sleepy: |
Üblicherweise wird dieses antiwpa auf Systemen installiert, die "irgendwo vom LKW gefallen sind", bzw. vom Esel ;) Das mit der unlöschbaren Datei scheint mir seltsam, eine sicher funktionierende Radikalkur sollte diese sein (aber ohne Garantie, dass es nicht Folgeschäden hat, dem Namen nach kann es eine Datei sein, die wichtig für Windows ist): Lade dir den Avenger herunter und entzippe ihn auf deinen Desktop. Nicht gezippt direkt als EXE ist er hier erhältlich. Starte den Avenger und bestätige die erscheinende Warnung. Kopiere den Inhalt der folgenden Codebox vollständig und unverändert in das Fenster, danach klicke auf "Execute" und folge den Anweisungen. Code: files to delete:Ich persönlich würde erstmal prüfen, wie die Besitz- und Zugriffsrechte dieser Datei sind, also der anderen der beiden oben angedachten Möglichkeiten nachspüren. Als Administrator kann man in den Sicherheitseinstellungen den Besitz einer Datei übernehmen. Die Möglichkeit, dass sie vielleicht gerade geöffnet ist, lässt sich z.B. mit dem Process Explorer prüfen: Strg-F, den Namen der Datei eingeben, dann erhält man eine Liste von Prozessen, die darauf zugreifen. |
Das hier, ist der Log von Avenger Zitat:
Soll ich den Vorgang für dort wiederholen? |
Hmm nein, das dürfte sich nur im Kreis drehen. Lade dir erstmal den Prozessexplorer und versuche dort mal zu orten, ob jemand die Datei geöffnet hält. Wenn nicht, dann als Administrator Rechtsklick auf die Datei -> Eigenschaften -> Sicherheit -> Erweitert -> Besitzer: Dort den Besitz an der Datei übernehmen. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 00:55 Uhr. |
Copyright ©2000-2024, Trojaner-Board