Autor
|
Thema: wurm oder virus geht nicht weg (1781 mal gelesen)
|
zeichenzwerg Mitglied zeichner
Beiträge: 160 Registriert: 13.05.2003
|
erstellt am: 07. Sep. 2004 13:47 <-- editieren / zitieren --> Unities abgeben:
hallo forum! mahlzeit. also: heute morgen kam die meldung vom nachrichtendienst: "VirusScan NT: Die Datei E:\ntsvc.exe ist mit dem Virus W32/Gaobot.worm.gen.f infiziert. Säuberung der Datei nicht möglich. Entweder ist keine Säuberung verfügbar oder auf die Datei kann nicht zugegriffen werden." danach meldete sich die firewall ganz oft, habe aber eine verbindung immer abgelehnt. die datei ntsvc.exe.vir ist immer noch da, hab schon einen zweiten virenscanner drüber laufen lassen, der erkennt aber auch nichts. die datei ntsvc.exe.vir hat 0 KB! wie bringe ich den virus weg? jetzt sind schon drei rechner infiziert. die typischen merkmale sind nicht aufgetaucht (verschieden dateien im registrierungseditor). danke für hilfe. ------------------ grüße von zz* Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP |
ralfm Ehrenmitglied V.I.P. h.c. Elektrozeichner
Beiträge: 5436 Registriert: 21.08.2003 WSCAD 4.0 bis 5.5, EPLAN 5.30 bis 5.70, EPLAN Electric P8 ab 1.7 bis 2.9 + Fluid
|
erstellt am: 07. Sep. 2004 13:52 <-- editieren / zitieren --> Unities abgeben: Nur für zeichenzwerg
|
zeichenzwerg Mitglied zeichner
Beiträge: 160 Registriert: 13.05.2003
|
erstellt am: 07. Sep. 2004 14:28 <-- editieren / zitieren --> Unities abgeben:
dankeschön, hab ich gerade gemacht, es wurde jedoch nichts gefunden, auch nicht nach neustart und nochmaligem anwenden des tools. "Symantec Gaobot FixTool 1.0.17.0 C:\System Volume Information: (not scanned) D:\System Volume Information: (not scanned) E:\System Volume Information: (not scanned) F:\System Volume Information: (not scanned) W32.Gaobot has not been found on your computer." und jetzt? hab ich am ende gar keinen virus?
------------------ grüße von zz* Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP |
ralfm Ehrenmitglied V.I.P. h.c. Elektrozeichner
Beiträge: 5436 Registriert: 21.08.2003 WSCAD 4.0 bis 5.5, EPLAN 5.30 bis 5.70, EPLAN Electric P8 ab 1.7 bis 2.9 + Fluid
|
erstellt am: 07. Sep. 2004 16:08 <-- editieren / zitieren --> Unities abgeben: Nur für zeichenzwerg
Hi, naja...ich bin kein Spezialist Vielleicht ist das ja auch irgendeine Falschmeldung. Der Nachrichtendienst wird gerne für alles Mögliche mißbraucht, kannst Du den nicht deaktivieren? Manchmal bekomme ich irgendwelche Virenalarme, dann säubere ich die Festplatte mal mit ad-aware...was sich da so alles ansammelt... ------------------ Grüße Ralf Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP |
zeichenzwerg Mitglied zeichner
Beiträge: 160 Registriert: 13.05.2003
|
erstellt am: 08. Sep. 2004 09:39 <-- editieren / zitieren --> Unities abgeben:
|
U_Suess Ehrenmitglied V.I.P. h.c. CAD-Admin / manchmal Konstrukteur
Beiträge: 10560 Registriert: 14.11.2001 Pro/E 2001 mit NC WV: 2003441 Windows XP (SP1)
|
erstellt am: 08. Sep. 2004 10:03 <-- editieren / zitieren --> Unities abgeben: Nur für zeichenzwerg
|
zeichenzwerg Mitglied zeichner
Beiträge: 160 Registriert: 13.05.2003
|
erstellt am: 08. Sep. 2004 11:40 <-- editieren / zitieren --> Unities abgeben:
AHA!? danke U_Suess! das hab ich jetzt auch installiert, bloß trau ich mich nicht so recht an die registrierungsdateien ran. hatte noch niemand diesen wurm/virus? isch krieg die krise ... ------------------ grüße von zz* Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP |
ralfm Ehrenmitglied V.I.P. h.c. Elektrozeichner
Beiträge: 5436 Registriert: 21.08.2003 WSCAD 4.0 bis 5.5, EPLAN 5.30 bis 5.70, EPLAN Electric P8 ab 1.7 bis 2.9 + Fluid
|
erstellt am: 09. Sep. 2004 13:55 <-- editieren / zitieren --> Unities abgeben: Nur für zeichenzwerg
Hallo, ich habe manchmal 40-50 Meldungen im Ergebnis, und hatte noch keine Probleme mit den Reg-Daten. Es werden ja nicht einfach Schlüssel geändert oder gelöscht, sondern nur die, die in der Definitionsdatei enthalten sind. Für weitere Probleme schau mal auf wewewe.trojaner-info.de ------------------ Grüße Ralf Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP |
zeichenzwerg Mitglied zeichner
Beiträge: 160 Registriert: 13.05.2003
|
erstellt am: 10. Sep. 2004 11:58 <-- editieren / zitieren --> Unities abgeben:
|
JPietsch Ehrenmitglied V.I.P. h.c. Administrator PDMLink
Beiträge: 5611 Registriert: 12.09.2002 Windchill PDMLink 11.1 M020 Creo Parametric 8.0.2.0 (produktiv) Creo Parametric 9.0.0.0 (Test) SimuFact Forming 2022
|
erstellt am: 13. Sep. 2004 08:43 <-- editieren / zitieren --> Unities abgeben: Nur für zeichenzwerg
|
zeichenzwerg Mitglied zeichner
Beiträge: 160 Registriert: 13.05.2003
|
erstellt am: 13. Sep. 2004 10:40 <-- editieren / zitieren --> Unities abgeben:
|
Uli.Zi Mitglied CNC-Fräser/ Programmierer
Beiträge: 88 Registriert: 27.03.2004 MasterCam X7 SP2 Solidworks 2013 SP3 W7 64Bit
|
erstellt am: 18. Sep. 2004 21:06 <-- editieren / zitieren --> Unities abgeben: Nur für zeichenzwerg
Hoffentlich ist es noch nicht zu spät *mit Adaware hatte ich noch nie problehme un konnte immer voll darauf vertrauen eine Sicherung anlegen ist aber trotsdem beruigender *kannst du die Datei im abgesicherten maodus löschen *Den Namen der Datei als Text suchen * www.bitdefender.de (unten links) kann man auch einen onlinescan machen. mit dem Stinger könntest du auch glück haben am besten bei www.google.de suchen damit der aktuellste da ist ansonsten ------------------ Gruß von einem Sachsen aus dem Frankenland Uli Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP |
JPietsch Ehrenmitglied V.I.P. h.c. Administrator PDMLink
Beiträge: 5611 Registriert: 12.09.2002
|
erstellt am: 22. Sep. 2004 09:01 <-- editieren / zitieren --> Unities abgeben: Nur für zeichenzwerg
Alle diese vermeintlichen Säuberungsversuche mit Viren- oder Cleaning-Tools egal welcher Art sind reine Augenwischerei, da sie allenfalls das erste Einfallstor beseitigen können, aber nie den Schad-Code inklusive Backdoors, die im Nachhinein über das erste Leck nachinstalliert wurden (siehe Agobot). Es bleibt dabei: Ist ein System einmal kompromittiert (egal wovon) stellen 1) eine vollständige Löschung der Partition 2) ein Neuinstallation des Betriebssystems aus sauberer Quelle 3) ein Zurückspielen der Nutzdaten aus dem letzten unbelasteten Backup den einzig sinnvollen Weg der Bereinigung dar. Zur Erläuterung: http://oschad.de/wiki/index.php/Kompromittierung Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP |
U_Suess Ehrenmitglied V.I.P. h.c. CAD-Admin / manchmal Konstrukteur
Beiträge: 10560 Registriert: 14.11.2001 Pro/E 2001 mit NC WV: 2003441 Windows XP (SP1)
|
erstellt am: 22. Sep. 2004 09:12 <-- editieren / zitieren --> Unities abgeben: Nur für zeichenzwerg
@JPietsch Wir haben es jetzt schon mehrfach gelesen! Und wenn genügend Zeit dazu ist, werden wir natürlich immer alle unsere Daten wegschmeisen und alles plattmachen. Aber es gibt auch Leute, die brauchen einen Rechner zum Arbeiten und nicht nur zum permanenten Neuinstallieren. Der Ratschlag ist sicher gut und auch beachtenswert, aber wenn ich bei jedem Muckser meines Antiviren-Programmes oder von Ad-Aware meinen Rechner neu machen würde, bräuchte ich wahrscheinlich drei Rechner, damit ich wenigstens evtl. einen zum Arbeiten habe. Vielleicht solltest Du auch noch einen weiteren Rat mit reinschreiben? Festplatte wegschmeißen, schließlich soll es Sachen geben, die sogar eine Formatierung überstehen. _________________ Gruß U_Suess Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP |
JPietsch Ehrenmitglied V.I.P. h.c. Administrator PDMLink
Beiträge: 5611 Registriert: 12.09.2002
|
erstellt am: 22. Sep. 2004 11:43 <-- editieren / zitieren --> Unities abgeben: Nur für zeichenzwerg
"Permanent neuinstallieren" muß nur derjenige, der auch "permanent" Neuinfektionen zuläßt. Dies läßt sich aber mit einer korrekten Konfiguration seines Rechners und die konsequente Nutzung von Brain (Einspielen aller benötigten Microsoft-Updates, Abschalten nicht benötigter Dienste, Verzicht auf inhärent unsichere Software wie Microsoft IE und OE) sehr effizient verhindern. Die dazu notwendigen Informationen sind an allen Ecken und Enden des Internets verfügbar und mittels Suchmaschinen jederzeit zu finden, z.B. http://www.linkblock.de http://faq.underflow.de Wer dazu in heutigen Zeiten nicht bereit ist, ist nicht in der Lage, einen Rechner an öffentlichen Datennetzen sicher zu betreiben. Wird sein System infiziert und dadurch zur Viren-, Wurm- oder Spamschleuder, schadet er nicht nur sich, sondern auch der Allgemeinheit, die für die Bandbreite des Mülls aufkommen muß, die sein verseuchtes System ins Internet schiebt. Daher ist es nur zu verständlich, wenn solche User von ihren Internet-Providern rigoros von ihren Online-Zugängen abgeklemmt werden. Und speziell der vom OP "zeichenzwerg" genannte Gaobot-Wurm ist ein ganz besonders bösartiger Vertreter seiner Gattung, da er sich unter anderem selbst als Dienst installiert, einen TCP-Port öffnet, um weiteren Schad-Code nachzuladen, und sogar einen eigenen IRC-Client auf dem befallenen System installiert, auf dem der Schädling anschließend auf Befehle von außen lauscht. Auf einem von Gaobot befallenen System ist somit praktisch _alles_ durch Fremdzugriff möglich, und kein Scanner und kein Cleaning-Tool dieser Welt kann auf einem solchen System jede Manipulation sicher erkennen geschweige denn beseitigen. Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP |
Uli.Zi Mitglied CNC-Fräser/ Programmierer
Beiträge: 88 Registriert: 27.03.2004 MasterCam X7 SP2 Solidworks 2013 SP3 W7 64Bit
|
erstellt am: 24. Sep. 2004 18:44 <-- editieren / zitieren --> Unities abgeben: Nur für zeichenzwerg
Zitat: Original erstellt von JPietsch: Verzicht auf inhärent unsichere Software wie Microsoft IE und OE) sehr effizient verhindern.[/B]
Du hast aber auch vergessen, dass Word und Exel auch anfällig sind und die meisten damit zu tun haben! Wenn man diese Programme nicht hat kann man mit den Kunden oder Auftraggebern nicht kommunizieren, einige andere Programme nicht nutzen die man braucht weil diese auch mit MS zusammenarbeiten. Windows allgemein muß man nehmen weil die Softwarehersteller kein Linux,Mac u.s.w. bereitstellen! Ich bin wahrhaftig kein Freund von Windows, aber was sein muß muß sein. Allerdings wenn man ein anständiges Antivirenprogramm hat (da muß man halt Geld ausgeben )ist man auch relativ sicher. zu Hause hab ich den BitDefender prof. In der Arbeit ein anderes nur fällt mir der Name nicht ein
------------------ Gruß von einem Sachsen aus dem Frankenland Uli Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP |
Uli.Zi Mitglied CNC-Fräser/ Programmierer
Beiträge: 88 Registriert: 27.03.2004
|
erstellt am: 25. Sep. 2004 16:17 <-- editieren / zitieren --> Unities abgeben: Nur für zeichenzwerg
habe die Website gefunden http://de.trendmicro-europe.com/index.php auf dem Server installiert prüft er auch die anderen Rechner und gibt meldungen an den Administrator per e-mail raus und updatet sich selbstständig. meiner Meinung nach das beste für eine Firma da für andere Benutzer Zugriffsrechte eingeschrängt werden können. ------------------ Gruß von einem Sachsen aus dem Frankenland Uli [Diese Nachricht wurde von Uli.Zi am 25. Sep. 2004 editiert.] Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP |
Ex-Mitglied
Beiträge: 4755 Registriert: 27.09.2000 Dell precision M4300, 4GB Arbeitsspeicher NVidia FX360M Windows XP professional SP3 CATIA V5 R16SP9, R17SP8, R18SP8, R19SP6 Adobe Acrobat 8 Linux: Ubuntu 8.04LTS
|
erstellt am: 26. Sep. 2004 21:28 <-- editieren / zitieren --> Unities abgeben: Nur für zeichenzwerg
Hallo zusammen, ich kann es bald nicht mehr hören: Zitat: ...Wenn man diese Programme nicht hat kann man mit den Kunden oder Auftraggebern nicht kommunizieren,...
Andere Programme wie OpenOffice sind sehr wohl in der Lage, Word- oder Excel-Dateien zu öffnen. Openoffice läßt sich auch so einstellen, daß standardmäßig im Word-Format abgespeichert wird. Was Excel angeht, so behaupte ich, daß die meisten Excel-Dateien gar keine Tabellen-Kalkulationen sind, sondern daß Excel nur mißbraaucht wird, um Tabellen zu erstellen. So sieht es zumindest nach meiner Erfahrung aus. Für mich ist die oben zitierte Behauptung nur eine Ausrede,die man gebraucht, weil man zu bequem ist, sich zu informieren. Sorry, wenn sich jetzt jemand auf den Schlips getreten fühlt. Viele Grüße, CEROG ------------------ Inoffizielle Linux-Hilfeseite http://linux.cad.de Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP |
Uli.Zi Mitglied CNC-Fräser/ Programmierer
Beiträge: 88 Registriert: 27.03.2004
|
erstellt am: 27. Sep. 2004 12:16 <-- editieren / zitieren --> Unities abgeben: Nur für zeichenzwerg
Zitat:
Original erstellt von CEROG: Sorry, wenn sich jetzt jemand auf den Schlips getreten fühlt. [/B]
Du hast ja recht was mit den Office Programmen zu tun hat. Aber ich arbeite mit MasterCam und das ist nur für Windows (privat bin ich ja auf den Weg zu Linux) ------------------ Gruß von einem Sachsen aus dem Frankenland Uli Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP |
Ex-Mitglied
Beiträge: 4755 Registriert: 27.09.2000 Dell precision M4300, 4GB Arbeitsspeicher NVidia FX360M Windows XP professional SP3 CATIA V5 R16SP9, R17SP8, R18SP8, R19SP6 Adobe Acrobat 8 Linux: Ubuntu 8.04LTS
|
erstellt am: 27. Sep. 2004 21:23 <-- editieren / zitieren --> Unities abgeben: Nur für zeichenzwerg
|
Uli.Zi Mitglied CNC-Fräser/ Programmierer
Beiträge: 88 Registriert: 27.03.2004
|
erstellt am: 28. Sep. 2004 12:17 <-- editieren / zitieren --> Unities abgeben: Nur für zeichenzwerg
|