CnC Foren - Neuer Virus/Wurm, hier die Lösung

CnC Foren (http://www.cncforen.de/index.php)

- Tech-Support / Tech-Talk (http://www.cncforen.de/forumdisplay.php?f=26)

- - Neuer Virus/Wurm, hier die Lösung (http://www.cncforen.de/showthread.php?t=58462)

Neuer Virus/Wurm, hier die Lösung

Wie einige schon bemerkt haben (Windows XP) gibt es seit heute, oder gestern einen Neuen Wurm/Virus. Er mahct zwar nichts kaputt nervt aber gewaltig. Hier ist dann auch schon die Lösung.

Zitat:

Ein neuer Wurm ist momentan im Umlauf.

Er ist, zumindest noch, nicht so sehr verbreitet wie der W32.Blaster.Worm vor eine halben Jahr, dennoch handelt es sich um Hunderte oder Tausende Infections.

Dieser greift den Win RPC an, blockiert Browser Connections, macht das Herunterfahren des PCs unmöglich, Lädt versteckt irgendwelche Sachen über ftp.exe hoch/runter, braucht bis zu 100 CPU, und lässt sich ned killen. (Der prozess lässt sich killen, wenn er neu gestartet ist, also schnell handeln.)

NORTON USER:
Ihr habts leicht, ihr braucht nur das AntiVir upzudaten, und dann solltet ihr sicher sein.

Ihr pc wird in XX sekunden heruntergefahren

Dies könnt ihr verhindern indem ihr Start->Ausführen geht, und dann "shutdown -a" eingebt, dann wird der Vorgang abgebrochen, und ihr habt Zeit um den Virus wegzukriegen.

Wie Ihr ihn wegbringt:

1. Beendet den Wurm, indem ihr über CTRL+ALT+DEL in den Taskmanager geht, in die Registerkarte "Prozesse" geht, und folgende Prozesse killt:
avserve.exe
43563_up.exe (kann auch jede beliebige andere zahl sein, endet aber immer mit _up.exe)
cmd.exe
ftp.exe
Sollte euer TaskManager Blockiert sein, könnt ihr Hier einen alternativen, externen Downloaden.

2. Löscht die Wurm Executables:
C:/Windows/System32/24323_up.exe (auch hier, kann es jede beliebige zahl sein)
C:/Windows/avserve.exe
3. Löscht den Registry Key:
Start -> Ausführen -> Regedit.
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run/ AVSERVE

4. Patcht die Scheisse:
http://windowsupdate.microsoft.com Alle Wichtigen Patches Saugen und Installieren. Wenn Ihr ein Anti-Virus Programm habt, updatet dies auch, Symantec(Norton) hat bereits einen Patch herausgegeben.

Nach dem Patchen am besten nochmal die Prozesse anschauen, die Dateien löschen falls existierend, und den RegKey löschen.

Jetzt sollte der Wurm bekämpf sein. Weitere Infos folgen.

UPDATE:
Bis jetzt bin ich mir nicht sicher ob der Wurm nur XP, oder auch andere Windows infiziert.
Ein älterer MS-Patch der das eindringen des Wurm unter WinXP verhindern könnte/sollte:Klick

Die Lösung ist von rocards.de

Hoffen wir mal, dass der sich an meiner Firewall die Zähne ausbeisst und dass das Update für AniVir den Wurm auch kennt

Du musst Update von AntiVir machen dann erkennt er den Wurm. ABer trozdem muss man den auch per Hand Löschen.

Was denn? Update von ANTIVIR? oder von norton? Ich habe nämlich gerade das Update von ANTIVIR gezogen und lass jetzt scannen...

Also ich habe es so gemacht: Antivir Update, Durchlaufen lassen, von Hand Löschen (regestry), Windows Update, Neustart :D

ich werd ihn sowieso net kriegen, benutze mozilla + router und hab seitdem nie probs gehabt

@iLu: Ähm wird der denn angezeigt? Also z.B. dass dann dort steht:" die Datei XXX ist ein Virus... kann aber nicht gelöscht werden!"
Ich habe sau viele Trojanische Pferde drauf?!

Ach DAS ist der Wurm, den ich heute morgen bekämpft hatte. Nun, ich hab's so gemacht: Ins Netz, Computer heruntergefahren bla bla... Okay, wollte runerfahre: Konnte mich nur ab-/ummelden

Ach DAS ist der Wurm, den ich heute morgen bekämpft hatte. Nun, ich hab's so gemacht: Ins Netz, Computer heruntergefahren bla bla... Okay, wollte runerfahre: Konnte mich nur ab-/ummelden, dann einfach Netzwerkkabel gezogen (gehe über netzwerk ins Netz) und habe einmal Ad-Aware drüberlaufen lassen...
dann noch mal in's Netz und mit Trendmicro Online Scan gemacht, was gefunden, gelöscht! Dann noch einmal mit Bitdefender drüber, weil der gründlicher ist und nichts mehr gefunden. Dann noch mal Ad Aware und alles andere gelöscht. Nun, ich lasse gerade noch einmal den Online Scanner drüber laufen... meint ihr, er ist weg oder muss ich noch irgendwie die Prozesse beenden und so? (Anti Vir hab' ich nich'!)

Edit: Sorry wegen Doppelpost, war keine Absicht, bin versehentlich (aus Gewohnheit aus ICQ) auf Alt+S gekommen, hab' aber dann die Aktion abgebrochen, kann den oberen bitte jemand löschen??

Na dann kann ich ja nur hoffen das er nicht zu mir kommt:angst:

Norton Live Update läuft gerade :D

hab aber mal geguckt, noch is bei mir nichts drauf.
Aber mit norton und nem router der so ziemlich alles blockt bin ich auch einigermasen sicher davor ^^ :stick:

Andere Frage: Wie heißt der Wurm nochmal?

Guckst du hier, Front

Die wohl einfachste Lösung heißt: Linux :D

Zitat:

Original von Hydroxie_Koter
ich werd ihn sowieso net kriegen, benutze mozilla + router und hab seitdem nie probs gehabt

Jo Router is nice. Hatte auch mal einen und nie Viren etc. aber dann hab ich weggemacht und seit dme kommen ab und an mal ein paar Viren durch.

Und schon wieder ne neuer... :-/

Zitat:

Original von The Dark Lord
Und schon wieder ne neuer... :-/

:confused:
welcher?

Wie heißen diese Viren denn?

Sasser ^^ selten blöder Name :rolleyes:

also ich weis nicht... ich hatte weder den blaster noch diese anderen genzen neuen würmer/viren, dafür hab ich mir letztens ne dicke mittelohrentzündung eingefangen :(

:rofl: was n Witz! Mittelohentzündung eingefangen...

Hier ist ein Link zu einem Tool, mit dem Ihr die "neuen" Würmer schnell beseitigen könnt...

Ich glaube, mit den Norton Produkten wird man diesem Vieh ebfenalls die Hölle heiß machen können.

An Norten haben die Dinger sich eh die Zähne ausgebissen

Schöpfer von "Sasser" gefasst

Der mutmaßliche Urheber des Internet-Wurms "Sasser" ist festgenommen worden. Es handelt sich um einen 18-Jährigen aus dem Kreis Rotenburg/Wümme. Beamte des Landeskriminalamts Niedersachsen hatten am Freitag das Elternhaus des Schülers in Waffensen bei Bremen durchsucht und dabei umfangreiches Beweismaterial sichergestellt.

Internationale Fahndung
Nach Informationen des Nachrichtenmagazins "Der Spiegel" wird der Schüler auch verdächtigt, für einen zweiten Wurm verantwortlich zu sein. Der Virus "Netsky.ac" ist in der Nacht zum vergangenen Dienstag aufgetaucht. An der Suche nach dem "Sasser"- Schöpfer sollen auch die US-Sicherheitsbehörden FBI und CIA beteiligt gewesen. "Man hatte den "Sasser"-Urheber erst in den USA vermutet, später dann in Russland", sagte ein Sprecher des Bundesamtes für Sicherheit in der Informationstechnik (BSI).

Erhebliche Schäden durch "Sasser"

Der Wurm "Sasser" hatte seit einer Woche in rasantem Tempo weltweit Millionen Computer heimgesucht. Nach Meinung von Experten waren auch einige internationale Großunternehmen betroffen. Ihnen entstehen zum Teil erhebliche Produktionsausfälle. "Sasser" nutzte eine Schwachstelle in Microsofts Betriebssystemen Windows XP und 2000 aus. Infizierte Rechner zeigten dem Nutzer Fehlermeldungen an und fuhren dann herunterDen armen Sack knüpfen die sich jetzt vor .

Ich hab auch Norton,aber mein Update läuft am 2.06.04 ab. :D

So ich hab mir nun auch das scheiss Teil eingefangen. Ich hatte zum Glück schon vorher die fx_sasser von symantec gezogen, doch dort konnte es nicht gefunden werden. So musste ich erst ein Update von AntiVir machn und AntiVir fand und löschte den Virus dann. aber warum hat fx_sasser das teil nicht gefunden :fire:

Hab jetzt mir ma ne Firewall zugelegt. Zonealarm heißt das gute stück :)

/edit: Hab nochmal mit Antivir gescannt, da während des entfernens von Sasser die Shutdown meldung kam. Ich hatte sage und schreibe 43mal den Sasser bei mir im System32-Ordner!! 43mal (!!!!!) :omg:

Hab die Logfile angehängt!

Nich schlecht . macht der denn noch was anderes ausser Herunterfahren ?

er erhöht die CPU-Auslastung auf 100% indem er sich immer wieder neustartet , sodass du ungefähr 20mal isass.exe im Taskmanager stehen hast. Aber sonst ist mir nix aufgefallen ^^

Das mit den Neustarts ist natürlich Übel

Bei mir war er zum Glück noch nicht,hoffen wir das es auch so bleibt.