|
Virus ?
Hallo,
seit heute bekomme ich sporadisch die Meldung (siehe Anhang), dass mein System in 30 sek runtergefahren wird. Ich habe aktuelles AntiVir und XP-Firewall aktiviert, sowie alle XP SP's installiert, bin somit auf dem neuesten Stand. Entsprechende Scanprogramme von MS und Norton-Online haben nichts gefunden (kein Blaster o.ä.). Das ganze kommt wohl von einem Programm, welches ich vom Internet runtergelagen und ausgeführt habe. Mittels "shutdown -a" kann ich den Vorgang zwar abbbrechen, aber nach einer gewissen Zeit kommt es wieder zum Runterfahren des Systems. Ich bin hilflos, wer kann helfen?? Bernhard |
Hallo,
das sieht nach Virus aus , kannst Du das Programm nicht deinstallieren , daß Du installiert hast. Sonst leider Format - C . Richtig betrachtet ist es eine Schweinerei , dem " kleinen " User mit einem Virus den die Programme kaputt zu machen, wenn diese Virenschreiber Frust haben oder meinen , sie wären die Größten wenn sie Millionenschäden verursachen , dann sollen sie sich direkt an Microsoft wenden . Demokratie ist etwas sehr schönes , nur für einige taugt es wohl nichts , die brauchen täglich den Knüppel. |
|
Hallo Bernhard,
Dumm gelaufen, Du hast Dir eine W32.Blaster Variante (Lovesan)eingefangen Was für ein "Programm" hast Du denn so einfach aus dem Internet geladen und ausgeführt ? ein Antiviren Programm nützt Dir ja nchts, wenn Du mit einem Mausklick dem Wurm auf dein System lässt Der Wurm infiziert u. verbreitet sich über die Ports: UDP + TCP :135, 139, 445 UDP : 69 TCP : 593, 4444 Bei Verwendung einer Personal Firewall solltest Du folgende Ports blockiert haben * UDP + TCP: 135, 139, 445 * UDP: 69 * TCP: 593, 4444 Wenn das nicht klappt, muß Du einen Fachmann an dein System lassen Bei bereits infizierten Rechnern helfen folgende Tools weiter: * # FixBlast von Symantec * * ClnPoza von Computer Associates * TCP: 593, 4444 (und bitte nicht schon wider Format:C\ in 99.9% ist das völlig überflüssig, bei einer Reifenpanne kauf ich mir ja auch kein neues Auto) viel Erfolg Gruß Mike |
Auweia.
Und wenn Du irgendwie fertig bist, solltest Du mal Windows Update laufen lassen. Bist nur einige Monate hinterher. Nichts gegen den Thread Ersteller. Aber wenn ich Antvirus und Firewall lese, bekomme ich das gepflegte "Brechen" ... Man sieht was dabei raus kommt. Firmen verdienen sich dumm und dusselig, dabei liegt die Lösung im Hirn des Benutzers. Aber nein, die totale Sicherheit wird von fast jedem Schwätzer, der sich Experte nennt, propagiert. Ich falle wieder vom Stuhl, wenn ich mich an das Symantec Geschwafel bez. Mac Viren erinnere. Sollen sie halt weiter ihren Schrott unter die Leute bringen. Sie können Mitleid gebrauchen. Sodele: Jetzt geht es mir wieder gut. Ich leg' mich hin :-) |
Vielen Dank für Eure bisherigen Hinweise.
Leider finden weder FixBlast noch ClnPoza irgendwelche Hinweise auf einen Virenbefall. AntiVir hat ja auch keine Meldung gebracht. Das Programm, welches ich installiert habe, sollte eine Desktop-Animation mit ner kleinen Katze sein, welche ich für meine Tochter heruntergeladen habe. Leider hats aber wohl etwas anderes animiert auf meinem Comp. Übrigens Stefan, mein XP ist mit ALLEN Updates aktuell, also nix mit "einigen Monaten hinterher" ! Aber ich habe festgestellt, dass dieses fiese Programm 24 Tasks erzeugt hat, die jede Stunde (00:17, 01:17, usw.) ein Herunterfahren des Systems veranlasst. In dem Taskjob ist auch der spanische Text definiert. Komischerweise kann ich die Tasks nicht bearbeiten, aber ich kann sie löschen. Ich werde morgen sehen, ob sie nach Entfernung aller 24 Tasks wieder neu erstellt werden??!! Bernhard |
Probiere mal via SpyBot das Viech ausfindig zu machen.
http://www.safer-networking.org/de/spybotsd/index.html |
Wenn´s wirklich W32/Lovsan.a ist, und danach hört sich´s an (Windows wird mit Countdown von 1 min. neu gestartet), dann mal hier reingucken:
http://www.sophos.de/support/disinfection/blastera.html Der Übeltäter (hatte ich selbst schon, ist allerdings länger her) ist eine Datei namens msblast.exe, die im Widows-Verzeichnis zu finden ist. Löschen dieser Datei allein genügt nicht, sie muß auch aus der Registry und aus dem Taskmanager entfernt werden. Gruß Mike |
hallo.
falls während des versuchten entferemem der viren der pc wieder runterfahren möchte, dann einfach im command fenster oder über start ausführen dort eingeben shutdown -a dann wird der vorgang gestoppt und man kann sich wieder der entfernung widmen :-) bei mir hats bei früheren viren so immer ganz gut geklappt. |
Jaja, das ist definitiv ein Virus, ich hatte den auch. Ich schaffe´te es erst nach dem 2. mal (!) neu aufetzen ihn loszuwerden - ich hatte nicht richtig formatiert! Ich hoffe du hast mehr Glück,..
Jan:mad: |
Im Übrigen kann ich nur folgende Seite empfehlen:
http://www.tu-berlin.de/www/software.../aktuell.shtml Mit dieser habe ich bisher immer ausreichend Hilfe bekommen, um trotz Einsatz aller möglichen Abwehr- und Überwachungsprogramme doch hier und da durchgerutschte Viren oder Würmer beseitigen zu können! Mike |
Hallo Bernhard,
ein Möglichkeit wäre noch HijakThis, Damit kannst Du sehen, wie und wo sich dieses Programm in der Registry eingenistet hat. Ich habe neunlich eine Labtop clean gemacht, der hatte sage u. schreibe über 485 Würmer dieser Gattung auf dem Gerät mit HijackThis u. Bitdefender funktioniert das sehr gut. Gruß Mike |
Hallo Bernhard,
ein Möglichkeit wäre noch HijakThis, Damit kannst Du sehen, wie und wo sich dieses Programm in der Registry eingenistet hat. Ich habe neunlich eine Labtop clean gemacht, der hatte sage u. schreibe über 485 Würmer dieser Gattung auf dem Gerät mit HijackThis u. Bitdefender funktioniert das sehr gut. http://sicher-ins-netz.info/analyse/analyse.html Gruß Mike |
Hallo Bernhard,
den selben Kollegen hatte ich vor ein paar Tagen auch auf er Platte,nichts von den oben genannten Programmen hat geholfen-Formatieren war angesagt. |
Zitat:
"Unwissenheit schützt vor Strafe nicht" Definitive humbug ! eine HD wegen eines Wurmes/Trojaner etc. zu formatieren Gruß Mike |
Ich stimme Dir da völlig zu. Solche "Vorschläge" helfen eigentlich dem Betroffenen nicht wirklich weiter - sondern sollten das "letzte" Mittel bleiben, wenn alle anderen Möglichkeiten - und hier gibt es Einige davon - fehlschlagen. Die Geschichte hier ist kein "Drama". Die Wirkungsweise dieser "Spezies" (ich meine den Wurm) - ist bereits seit über einem Jahr bekannt. Ausser dass er sich hartnäckig im Rechner festbeisst - und die ungewollten "Shut Downs" auslöst - richtet er keinen weiteren Schaden an. Also "kühlen Kopf" bewahren, die hier geposteten Links verfolgen, und ruhig an die Sache rangehen - dann klappt es auch. ;)
Michael |
Das sehe ich auch so, die Formatierung kann nur das allerletzte Mittel sein. Wenn die o.g. Links nichts bringen sollten, dann sollte man sich mal in den vielen Diskussionsforen umsehen, in denen viele Viren/Wurm/Trojaner-Spezialisten ihre Erfahrungen weitergeben.
Versuch´ mal, bei Google in der Kategorie Groups nachzuschauen! Da wird man auch schnell fündig (die meisten Diskussionen sind allerdings in Englisch)! Gruß Mike |
Hallo...
Wer sich mal die Antworten des Threaderöffners anschaut wird eigentlich merken das es nicht der Blater-Worm sein kann denn der trägt sich nicht 24mal in den Taskplaner ein. Das sieht mir mehr nach irgendeinem Java-script aus. Gruss Foxi |
Hallo,
ja genau Foxi, du hast es erkannt. Jeder hat sich nur auf die Fehlermeldung konzentriert (die auch wirklich genauso aussieht wie von Blaster) und nicht auf meine Aussage, dass alle Blaster-Removal-Programme keinen Virus finden konnten. Demzufolge bin ich inzw. auch der Überzeugung, dass es sich um keinen üblichen Virus handelt, sondern um ein Programm, welches 24 mal einen Task erstellt. Der Task wird jede Stunde ausgeführt und das an jedem Tag. Die Tasks konnte ich ohne Probleme löschen und habe zumindest bis jetzt auch keine Probleme mehr. Ich hoffe schwer, dass es so bleibt. Allerdings ist es am Anfang wirklich schwer gewesen, dies zu identifizieren, da der Taskplaner bei XP ja nicht gerade ins Auge springt und ich mit diesem, wie sicher viele von Euch auch, kaum in Berührung komme. Obwohl ich das Ganze am Ende doch alleine gelöst habe, möchte ich mich trotzdem bei allen bedanken, die sich die Mühe gemacht haben, mir weiterzuhelfen :) Vielleicht steht ihr ja auch mal vor dem gleichen "Problem" und dann wisst ihr ja jetzt, wie es zu lösen ist. Bernhard |
Grund genug Deine Sekt (Champagner) Flasche jetzt zu öffnen und die Luft aus den Gläsern herauszulassen.:)
Michael |
Genau!
Eine Runde Freisekt für Alle !!!!!!! :hallo: :bier: Bernhard |
Hallo,
ich habe seit Donnerstag genau das gleiche Problem gehabt. Ich habe dabei bestimmt 20 verschiedene Viren- und Removerprogramme probiert. Dank dir hab ich es endlich lösen können, zum Glück denn jetzt kann ich endlich mich in Ruhe wieder mit meinem geliebten FS beschäftigen :lol: Aber noch als Zusatz: die für die Eintragungen verantwortliche Datei befindet sich unter Windows/System32 und hieß bei mir yv.239P.exe. Ist man nämlich als Administrator unterwegs, trägt diese Datei immer wieder die geplanten Tasks nach :mad: Gruß Thomas |
Ich habe exakt das gleiche Problem, dass sich die 24 Tasks bei jedem Neustart neu eintragen nur weiß ich nicht nach welcher Datei ich im System32-Ordner suchen muss :confused:
Kann mir das jemand weiterhelfen ?? Jan |
Schau doch einfach mal nach, ob du auch die
yv.239P.exe. hast, die war es bei mir. Und wenn das nicht hilft, suche einfach dein System nach Dateien ab, die an dem Datum erstellt wurden seit dem du diese Probleme hast. (So hab ich das gemacht). Die Datei is so um die 400kb groß. Aber Vorsicht nich ausversehen ne wichtige Datei löschen ;) Gruß Thomas |
Hallo Jan,
die Datei hat bei mir genau 447 kB. Du kannst ja mal unter der Windows Suche nach einer exe-Datei im system32 Order suchen, die kleiner als 450 kB, oder größer als 440 kB ist. Dann kannst du die Suche eindämmen. Der Name ist wohl unterschiedlich, bei mir hieß sie DeskCat. Wenn sie immer wieder startet, dann müsste sich diese Datei irgendwo im Autostart befinden. Oder du suchst in der Registry unter hkey_local_machine/software/ microsoft/windows/currentversion/run oder hkey_current_user/software/ microsoft/windows/currentversion/run nach einer Dir seltsam klingenden exe-Datei. Ich habe zum Glück gleich gewusst, welche Datei es war und hab sofort das -exe in -org umbenannt. Bernhard |
Habs jetzt auch gefunden. War bei mir ebenfalls die Datei yv.239P.exe. Vielen Dank euch beiden :)
|
Tja,ganz so blöd bin ich ja auch nicht,ich habe 3 Tage nach diesem Wurm gesucht,auch die besagte exe datei fand ich im System32 Ordner und gelöscht,half nix.Alle möglichen Programme ausprobiert-in einigen Foren war zu lesen das der Wurm sogar nach der Formatierung wieder da war-was soll da noch helfen?
|
In der Regel tragen sich solche Viecher in der Registry ein, damit sie immer wieder gestartet werden:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\ und dann in den Schlüsseln \Run und \RunService gucken. Dort findet man meist einen Eintrag, den man nicht zuordnen kann, da es sich um einen völlig kryptischen Dateinamen handelt. Alarmstufe Rot ist angesagt, wenn dort Einträge zu "WindowsUpdate" oder "UpdateScheduler" stehen, da es meist Fakes sind. Im Zweifelsfalle rate ich dazu die Einträge zu löschen, denn reguläre Anwendungen kann man nachinstallieren, Viren und Co. sollen ja weg ;) |
Stimmt die Registry hab ich vergessen.
Ich habe zusatzlich mit Hijackthis mein System durchsucht und es hat in der Registry, die von mir gelöschte Datei gefunden. Den Eintrag habe ich einfach mit Hijackthis gelöscht. Da ich zunächst von einem Blasterwurm ausging, habe ich auch unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run gesucht und einen WindowsUpdate eintrag gefunden und gelöscht. Ich weiß aber nich ob das bei dem Problem relevant ist. Ich hoffe das hilft weiter. Gruß Thomas |
Hallo...
Man sollte endlich mal mit solchen Ammenmärchen aufhören das ein Wurm nach einer Formatierung immer noch da sei. Das ist absoluter Nonsens. Wenn soetwas passieren sollte müsste sich nach einer Formatierung ja noch ein Betriebssystem auf dem Rechner befinden. Ein Virus kann sich bei einer Formatierung auch nur einschleichen wenn ich von einem befallenen System boote und dann formatiere. Also wenn schon Format dann bitteschön von der garantiert sauberen Original-Windows CD. Gruss Foxi |
| Alle Zeitangaben in WEZ +2. Es ist jetzt 13:36 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
© 2009 FSL Verlag