Mysterium

sloopy · 06.06.2004, 23:12

Mysteriöser Virus!
Auf einem fremd Pc (Celeron 450)ein Virusbefall. Bei einem Virenscan jedesmal die Meldung: C: Winnt\system 32\ isass.exe hat einen Fehler verursacht. Fehlercode 128 das System wird heruntergefahren.
Soweit so gut, kennt man schon. Booten von W2K CD, neu installieren. Partition löschen, neue Partition, formatieren, neu installieren. Bis dahin alles OK. Einrichten des Internet Zugangs, dann Modem von Chello einschalten, nach 3 Minuten C:Winnt\system32\isass.exe.....
blablabla der selbe scheibenkleister wieder.
System check bei Symantec: Virus gefunden in Winnt\system32\Win932.exe
Virus W32 Randex.gen
Wer weis Rat ich bin am Ende mit meiner Weisheit.

John_Doe · 06.06.2004, 23:19

vorm Internetaktivieren eine Firewall installieren?

Das kennt man aber auch schon

DCS · 06.06.2004, 23:19

Goggle: http://www.sophos.de/virusinfo/analyses/w32randexy.html

W32/Randex-Y ist ein Netzwerkwurm mit Backdoor-Funktionen, der einem remoten Eindringling Zugriff auf und die Steuerung über den Computer via IRC-Kanälen ermöglicht.

W32/Randex-Y wählt zufällig IP-Adressen aus und versucht, sich mit IPC$-Freigaben zu verbinden, die einfache Kennwörter verwenden. Wenn die Verbindung erfolgreich war, kopiert sich der Wurm in folgende remote Speicherorte:

\ADMIN$\system32\msnv32.exe
\C$\WINNT\system32\msnv32.exe

W32/Randex-Y erstellt dann einen Zeitplan, nach dem die remote erzeugten Dateien ausgeführt werden.

Jedes Mal, wenn der Wurm ausgeführt wird, verbindet er sich mit einem remoten IRC-Server und einem bestimmten Kanal. Der Wurm läuft dann als Serverprozess im Hintergrund und wartet auf Befehle.

Mfg, DCS

_m3 · 06.06.2004, 23:30

Zitat:

Original geschrieben von sloopy
Soweit so gut, kennt man schon. Booten von W2K CD, neu installieren. Partition löschen, neue Partition, formatieren, neu installieren. Bis dahin alles OK. Einrichten des Internet Zugangs,

Firewall aktivieren

Zitat:

dann Modem von Chello einschalten

sloopy · 06.06.2004, 23:52

Danke für die prompte Auskunft, konnte die Firewall nicht aktivieren, da keine vorhanden ist. Werde morgen meine mitnehmen. Wieder was dazugelernt, nicht jeder hat was über für Sicherheit.

jak · 07.06.2004, 19:22

Andere Möglichkeit:
Eine Installationscd auf der das aktuellste SP integriert ist (slipstream), und die neuesten updates auch schon bei der Installation (gibts irgendwo im Internet, leider vergessen wo) draufgespielt werden.

BTW.: Am besten die Datei und Druckerfreigabe nur mit dem IPX-SPX Protokoll verknüpfen, nicht mit TCP/IP. IPX ist nicht routbar, kommt also nicht übers Kabelmodem hinaus.

Jak

John_Doe · 07.06.2004, 19:49

Zitat:

Original geschrieben von jak
Andere Möglichkeit:
Eine Installationscd auf der das aktuellste SP integriert ist (slipstream), und die neuesten updates auch schon bei der Installation (gibts irgendwo im Internet, leider vergessen wo) draufgespielt werden.

Direkt bei Microsoft?

Trotzdem würd ich mir eine Firewall wie zB ZoneAlarm installieren - meistens sind die Würmer ja schneller als MS mit den Patches...

sloopy · 07.06.2004, 20:09

Heute alles erledigt. Modem aus, Neuinstallation, Zone Alarm drauf und Modem ein und tschüß Virus.

06.06.2004, 23:12	#1
sloopy Veteran Registriert seit: 06.03.2001 Alter: 78 Beiträge: 262	Mysterium Mysteriöser Virus! Auf einem fremd Pc (Celeron 450)ein Virusbefall. Bei einem Virenscan jedesmal die Meldung: C: Winnt\system 32\ isass.exe hat einen Fehler verursacht. Fehlercode 128 das System wird heruntergefahren. Soweit so gut, kennt man schon. Booten von W2K CD, neu installieren. Partition löschen, neue Partition, formatieren, neu installieren. Bis dahin alles OK. Einrichten des Internet Zugangs, dann Modem von Chello einschalten, nach 3 Minuten C:Winnt\system32\isass.exe..... blablabla der selbe scheibenkleister wieder. System check bei Symantec: Virus gefunden in Winnt\system32\Win932.exe Virus W32 Randex.gen Wer weis Rat ich bin am Ende mit meiner Weisheit. ____________________________________ Wer zugibt nichts zu wissen ist der wahrhaft Weise

06.06.2004, 23:52	#5
sloopy Veteran Registriert seit: 06.03.2001 Alter: 78 Beiträge: 262	Danke für die prompte Auskunft, konnte die Firewall nicht aktivieren, da keine vorhanden ist. Werde morgen meine mitnehmen. Wieder was dazugelernt, nicht jeder hat was über für Sicherheit. ____________________________________ Wer zugibt nichts zu wissen ist der wahrhaft Weise

07.06.2004, 19:22	#6
jak Inventar Registriert seit: 13.06.2001 Beiträge: 1.830	Andere Möglichkeit: Eine Installationscd auf der das aktuellste SP integriert ist (slipstream), und die neuesten updates auch schon bei der Installation (gibts irgendwo im Internet, leider vergessen wo) draufgespielt werden. BTW.: Am besten die Datei und Druckerfreigabe nur mit dem IPX-SPX Protokoll verknüpfen, nicht mit TCP/IP. IPX ist nicht routbar, kommt also nicht übers Kabelmodem hinaus. Jak ____________________________________ Join the DNRC \| Godwin\'s Law (thx@stona) Documentation is like sex: If it\'s good, it\'s very, very good. If it\'s bad, it\'s better than nothing. \"In theory, theory and practice are the same. In practice, they are not\" (Lawrence Berra)

07.06.2004, 20:09	#8
sloopy Veteran Registriert seit: 06.03.2001 Alter: 78 Beiträge: 262	Heute alles erledigt. Modem aus, Neuinstallation, Zone Alarm drauf und Modem ein und tschüß Virus. ____________________________________ Wer zugibt nichts zu wissen ist der wahrhaft Weise

06.06.2004, 23:19	#2
John_Doe Inventar Registriert seit: 29.12.2000 Alter: 50 Beiträge: 1.671	vorm Internetaktivieren eine Firewall installieren? Das kennt man aber auch schon

06.06.2004, 23:19	#3
DCS Inventar Registriert seit: 14.03.2004 Alter: 52 Beiträge: 4.547	Goggle: http://www.sophos.de/virusinfo/analyses/w32randexy.html W32/Randex-Y ist ein Netzwerkwurm mit Backdoor-Funktionen, der einem remoten Eindringling Zugriff auf und die Steuerung über den Computer via IRC-Kanälen ermöglicht. W32/Randex-Y wählt zufällig IP-Adressen aus und versucht, sich mit IPC$-Freigaben zu verbinden, die einfache Kennwörter verwenden. Wenn die Verbindung erfolgreich war, kopiert sich der Wurm in folgende remote Speicherorte: \ADMIN$\system32\msnv32.exe \C$\WINNT\system32\msnv32.exe W32/Randex-Y erstellt dann einen Zeitplan, nach dem die remote erzeugten Dateien ausgeführt werden. Jedes Mal, wenn der Wurm ausgeführt wird, verbindet er sich mit einem remoten IRC-Server und einem bestimmten Kanal. Der Wurm läuft dann als Serverprozess im Hintergrund und wartet auf Befehle. Mfg, DCS

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)