Virus? Wurm? Blödheit?

Chesus · 10.07.2002, 12:36

Hallo

Ich hatte heute beim starten von WinMx eine Virus Meldung ( dieser da )
NAV hat alles brav gemeldet und bei einem System Scan nix weiteres gefunden. (Gestern Abend letztes Liveupdate)

Zwei Stunden nach dem vollen Systemscan und genau in dem Moment als ich bei Kazaalite eine Datei zum ruterladen anklicke, sagt mir Zonealarm das dieses aufs Internet zugreifen will.

Und beim darauffolgenden AdAware-scan wird diese Spywaredatei: cd_clint.dll gefunden, welche beim ersten mal als ich kazzalite installiert hatte nicht gefunden wurde

Kann das alles einen Zusammenhang haben?
Ist das einer der Kazaa Würmer die angeblich krassieren?
Wäre es besser wenn ich die Internetverbindung kappe und per lautem schreien mit den Leuten in Kontakt bleibe?
*nixmehrauskenn*

V.V.
Chesus

LouCypher · 10.07.2002, 13:37

Geh dort hin und lad dir die neuesten virusdefinitionen (Intelligent updater) runter, die liveupdate dateien hinken immer ein paar tage hinterher und scanne nochmal.

holzi · 10.07.2002, 14:12

Zitat:

Wäre es besser wenn ich die Internetverbindung kappe und per lautem schreien mit den Leuten in Kontakt bleibe?

...durch lautes Schreien wird man bald heiser, versuch es mal mit Buschtrommeln.

Bastet · 11.07.2002, 21:36

Zitat:

Original geschrieben von Chesus
Hallo

Ich hatte heute beim starten von WinMx eine Virus Meldung ( dieser da )
NAV hat alles brav gemeldet und bei einem System Scan nix weiteres gefunden. (Gestern Abend letztes Liveupdate)

V.V.
Chesus

wenn du dir das trojanische pferd bereits eingefangen hast, musst du es manuell entfernen (lt. deiner url), updates sind deshalb notwendig damit du dir auch die neuesten viren/trojaner NICHT einfangen kannst

btw: und ist er schon weg?

Stona · 11.07.2002, 21:43

ohne der cd_clint.dll funktioniert kazaalite nicht.
Das ist der unterschied zwischen kazaa und kazaalite.
die cd_clint.dll haben beide, nur ist sie bei kazaalite modifiziert und ungefählich (auch wenn sie von adaware gefunden wird). beim normalen kazaa ist diese komponente die "spyware" des programms.

und die cd_clint.dll war bestimmt am anfang auch schon da

Chesus · 11.07.2002, 21:52

tja

den Trojaner vom link hab ich nicht gefunden, also wird ihn der NAV wohl geblockt haben.
Aber ich hatte interessanterweise in letzten beiden Tagen drei versuchte (ZA hats gesperrt) Zugriffe aufs Netz.
dieser Kernel32 vom link (das ist irgendeine DOS Anwendung) den hab ich mal wo anders hinverschoben um zu schauen was passiert.
und eine Datei "ICQSRP.exe" die allerdings vorher noch nie zugegiffen hatte und im Pfad dem mir ZA angibt auch nicht zu finden war. Also hab ich im ICQ-Installationsverzeichnis eine gleichnamige Datei (allerdings kleingeschrieben) im Papierkorb zwischengelagert :-/

Vielleicht leide ich ja auch nur an Paranoia aber der zeitliche Zusammenhang zwischen NAV-Alarm und unüblichen Zugriffen stimmt mich schon sehr bedenklich.

Chesus

Bastet · 12.07.2002, 08:48

hmm... hast du die einträge in der registry schon gelöscht, oder waren die garnicht vorhanden?
--
To edit the registry:

CAUTION: Symantec strongly recommends that you back up the registry before you make any changes to it. Incorrect changes to the registry can result in permanent data loss or corrupted files. Modify only the keys that are specified. Read the document How to make a backup of the Windows registry for instructions.

1. Click Start, and click Run. The Run dialog box appears.
2. Type regedit and then click OK. The Registry Editor opens.
3. Navigate to each of the following keys:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\RunServices

4. In the right pane, delete either of the the following values if found:

Configuration Manager Cnfgldr.exe
System Monitor Sysmon16.exe

5. Exit the Registry Editor.
--

Excalibur33 · 12.07.2002, 09:01

Hi,
wennst wissen willst, wohin "ICQSRP.exe" connected werden soll, kannst im DOS-Modus mit Aufruf von "EDIT"(Dos-editor) diese Datei öffnen, und dirs anschauen.Den Trojaner hast dir mit nem Cookie eingefangen.
mfg Excal

Chesus · 12.07.2002, 12:28

LouCypher: Die definitionen vom 11.07 habens gebracht

Bastet: ja, ich hatte alle anweisungen befolgt, aber nichts gefunden (also dachte ich Virus = weg)

Excalibur: Man kann sich über cookies Viren einfangen? das geht ja beim IE zB ohne Nachfrage, nur der Opera schreit manchmal :-/

Also der Virus ist mit den neuesten definitionen gefunden und auf Quarantäne, es war genau dieser backdoor, den NAV eigentlich abgeblockt zu haben schien

danke euch
Chesus

10.07.2002, 12:36	#1
Chesus Veteran Registriert seit: 06.01.2002 Alter: 44 Beiträge: 357	Virus? Wurm? Blödheit? Hallo Ich hatte heute beim starten von WinMx eine Virus Meldung ( dieser da ) NAV hat alles brav gemeldet und bei einem System Scan nix weiteres gefunden. (Gestern Abend letztes Liveupdate) Zwei Stunden nach dem vollen Systemscan und genau in dem Moment als ich bei Kazaalite eine Datei zum ruterladen anklicke, sagt mir Zonealarm das dieses aufs Internet zugreifen will. Und beim darauffolgenden AdAware-scan wird diese Spywaredatei: cd_clint.dll gefunden, welche beim ersten mal als ich kazzalite installiert hatte nicht gefunden wurde Kann das alles einen Zusammenhang haben? Ist das einer der Kazaa Würmer die angeblich krassieren? Wäre es besser wenn ich die Internetverbindung kappe und per lautem schreien mit den Leuten in Kontakt bleibe? nixmehrauskenn V.V. Chesus

10.07.2002, 13:37	#2
LouCypher der da unten wohnt Registriert seit: 15.07.2000 Alter: 52 Beiträge: 11.502	Geh dort hin und lad dir die neuesten virusdefinitionen (Intelligent updater) runter, die liveupdate dateien hinken immer ein paar tage hinterher und scanne nochmal. ____________________________________ Greetings LouCypher

12.07.2002, 08:48	#7
Bastet Elite Registriert seit: 07.09.2000 Beiträge: 1.036	hmm... hast du die einträge in der registry schon gelöscht, oder waren die garnicht vorhanden? -- To edit the registry: CAUTION: Symantec strongly recommends that you back up the registry before you make any changes to it. Incorrect changes to the registry can result in permanent data loss or corrupted files. Modify only the keys that are specified. Read the document How to make a backup of the Windows registry for instructions. 1. Click Start, and click Run. The Run dialog box appears. 2. Type regedit and then click OK. The Registry Editor opens. 3. Navigate to each of the following keys: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\RunServices 4. In the right pane, delete either of the the following values if found: Configuration Manager Cnfgldr.exe System Monitor Sysmon16.exe 5. Exit the Registry Editor. -- ____________________________________ Bye Bastet

11.07.2002, 21:43	#5
Stona Inventar Registriert seit: 28.09.2001 Beiträge: 2.179	ohne der cd_clint.dll funktioniert kazaalite nicht. Das ist der unterschied zwischen kazaa und kazaalite. die cd_clint.dll haben beide, nur ist sie bei kazaalite modifiziert und ungefählich (auch wenn sie von adaware gefunden wird). beim normalen kazaa ist diese komponente die "spyware" des programms. und die cd_clint.dll war bestimmt am anfang auch schon da

11.07.2002, 21:52	#6
Chesus Veteran Registriert seit: 06.01.2002 Alter: 44 Beiträge: 357	tja den Trojaner vom link hab ich nicht gefunden, also wird ihn der NAV wohl geblockt haben. Aber ich hatte interessanterweise in letzten beiden Tagen drei versuchte (ZA hats gesperrt) Zugriffe aufs Netz. dieser Kernel32 vom link (das ist irgendeine DOS Anwendung) den hab ich mal wo anders hinverschoben um zu schauen was passiert. und eine Datei "ICQSRP.exe" die allerdings vorher noch nie zugegiffen hatte und im Pfad dem mir ZA angibt auch nicht zu finden war. Also hab ich im ICQ-Installationsverzeichnis eine gleichnamige Datei (allerdings kleingeschrieben) im Papierkorb zwischengelagert :-/ Vielleicht leide ich ja auch nur an Paranoia aber der zeitliche Zusammenhang zwischen NAV-Alarm und unüblichen Zugriffen stimmt mich schon sehr bedenklich. Chesus

12.07.2002, 09:01	#8
Excalibur33 Elite Registriert seit: 18.11.2001 Beiträge: 1.130	Hi, wennst wissen willst, wohin "ICQSRP.exe" connected werden soll, kannst im DOS-Modus mit Aufruf von "EDIT"(Dos-editor) diese Datei öffnen, und dirs anschauen.Den Trojaner hast dir mit nem Cookie eingefangen. mfg Excal

12.07.2002, 12:28	#9
Chesus Veteran Registriert seit: 06.01.2002 Alter: 44 Beiträge: 357	LouCypher: Die definitionen vom 11.07 habens gebracht Bastet: ja, ich hatte alle anweisungen befolgt, aber nichts gefunden (also dachte ich Virus = weg) Excalibur: Man kann sich über cookies Viren einfangen? das geht ja beim IE zB ohne Nachfrage, nur der Opera schreit manchmal :-/ Also der Virus ist mit den neuesten definitionen gefunden und auf Quarantäne, es war genau dieser backdoor, den NAV eigentlich abgeblockt zu haben schien danke euch Chesus

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)