wurm gefährlich

wurm gefährlich (37 Beiträge, 625 Mal gelesen)

Du bist nicht angemeldet. [ Login/Registrieren ]

Hallo!

Einer der pc-user der von mir supportet wird hat mir sich laut antivir eine wurm eingefangen.
hab kurz gegoogelt und anscheinend sind die nicht so leicht zu entfernen ohne das man in der registry herumpfuscht. Das will ich ihm nicht persönlich zutrauen sondern irgendwann mal selber machen.

Kenne mich aber ehrlich gesagt selber nicht so mit würmern aus (hatte noch nie einen

) darum meine fragen:

wenn der wurm immer von antivir erkannt wird und für diese session geblockt gelöscht oder sonstwas wird... kann das system ohne schaden länger so laufen? er startet halt immer wieder neu kann aber keine schaden anrichten?

der wurm wird nicht beim win-startup sondern beim start einer software von antivir erkannt. allerdings ist die software schon sehr lange installiert und die wurm warnung gibt es erst seit ca. 1 woche. d.h. nur das sich der wurm dort irgendwo eingenistet hat aber nicht direkt mit der sw zusammenhängt oder? Könnte es sein das nur eine virusdefinition den wrum findet und der schon seit nem halben jahr in der sw ist?

danke für die antworten

-------------------------------------------------------------------
So  08.06.2008  18:00  Wien  Österreich - Kroatien
Do  12.06.2008  20:45  Wien  Österreich - Polen
Mo  16.06.2008  20:45  Wien  Österreich - Deutschland
So  22.06.2008  20:45  Wien  Spanien -  Italien

wie heisst er denn?

muss ich nachfragen. kann man die obigen fragen nciht allgemeingültig beantworten? kann ein wurm der von antivir geblockt wird schaden anrichten?
-------------------------------------------------------------------
So  08.06.2008  18:00  Wien  Österreich - Kroatien
Do  12.06.2008  20:45  Wien  Österreich - Polen
Mo  16.06.2008  20:45  Wien  Österreich - Deutschland
So  22.06.2008  20:45  Wien  Spanien -  Italien

generell:
sobald er EINMAL ausgeführt wurde, würd ich sagen JA...
(hängt aber wohl davon ab wie "schlau" der wurm ist..)

alles klar.

wie gesagt ist für mich ned priorität weiß ned wann ich dazu kommen mir den rechner anzuschauen :/ dann werde ich mal raten bis dahin den pc nur zu verwenden wenn absolut notwendig.

-------------------------------------------------------------------
So  08.06.2008  18:00  Wien  Österreich - Kroatien
Do  12.06.2008  20:45  Wien  Österreich - Polen
Mo  16.06.2008  20:45  Wien  Österreich - Deutschland
So  22.06.2008  20:45  Wien  Spanien -  Italien

Ist doch egal, am besten einfach Antivir deinstallieren.

Hi!

wenn der wurm immer von antivir erkannt wird und für diese session geblockt gelöscht oder sonstwas wird... kann das system ohne schaden länger so laufen?

Kommt drauf an was Du unter "geblockt" verstehst... wenn Antivir anschlägt und meint, es hat Wurm XY gefunden, den aber nicht löschen kann (Name und Pfad der .exe wird angezeigt), dann via Taskmanager schauen, ob die .exe läuft und abschießen; dann kann Antivir zumindest das File physisch verarbeiten.

Allerdings...

der wurm wird nicht beim win-startup sondern beim start einer software von antivir erkannt.

... lässt das doch eher auf ein false positive schließen; wahrscheinlich macht die Software ein paar Ports auf, schreibt in bestimmte Speicherbereiche oder legt ein sonstiges wurmähnliches Verhalten an den Tag.

Ich würde mal a) ohne die Software zu starten einen Scan der .exe machen (sicherheitshalber mal nur benachrichtigen lassen und nicht gleich löschen lassen), b) mit einem Onlinevirenscanner drübergehen (z.B. Trendmicro Housecall; bei Antivir in der Zwischenzeit den Echtzeitscanner abschalten) und c) die fragliche Datei bei http://www.virustotal.com/de/ hochladen und von mehreren Scannern prüfen lassen.

Was auch noch eine Option sein könnte: Heuristik zurückdrehen (falls das bei Antivir überhaupt möglich ist) und schauen, ob der Wurm noch immer gefunden wird.

hth,

greetz

glockman

- I don't need any sex. Life screws me every day... -

It's a Thing...

You wouldn't understand.

Ich habe ein ähnliches Problen mit einem Trojaner (crypt.xpack.gen). Den findet Antivir bei jedem Systemstart. Wie auch immer ich Antivir damit verfahren lasse, beim nächsten Systemstart ist er wieder da.

Versuch mal alle Programme aus dem Autostart zu nehmen die da zusätzlich zu den windowseigenen geladen werden und teste die dann einzeln so lang bis Du den "Täter" gefunden hast.

Start -> Ausführen -> msconfig, dann unter "Autostart" die Liste durchgehen.

"HKLM\Software"-Einträge sind systemweit gültig, "HKCU\Software" nur für den momentan angemeldeten User (also für Dich), beide in der Registry eingetragen; "Common Startup" (sorry, weiß nicht, wie das auf deutsch heißt; "Gemeinsamer Autostart" vielleicht) sind Einträge im "Alle Benutzer\Autostart"-Ordner und "Autostart" ist schlussendlich nur für Deinen User gültig.

Um es weiter einzugrenzen: passiert das nur bei Deinem User oder bei allen (so Du mehrere hast/verwendest)?

greetz

glockman

- I don't need any sex. Life screws me every day... -

It's a Thing...

You wouldn't understand.

Danke, ich werde mich jetzt einmal schlau machen.
Gibt es keine Virenprogramme, die Trojaner bereinigen können. Ich bin da auf den BitDefender gestoßen. Kennst du das Programm?

Trojaner sind auch nur ganz normale Executables, die sich ebenso ganz normal löschen lassen; dass einige Virenscanner vielleicht daran scheitern, ein mögliches Watchdog-Programm nicht zu erkennen bzw. den Selbstschutz des Trojaners nicht deaktivieren können ist eine andere Sache.

BitDefender kenne ich nur vom Namen her; kann also da auch nicht wirklich weiterhelfen.

greetz

glockman

- I don't need any sex. Life screws me every day... -

It's a Thing...

You wouldn't understand.

Kommt drauf an was Du unter "geblockt" verstehst... wenn Antivir anschlägt und
meint, es hat Wurm XY gefunden, den aber nicht löschen kann (Name und Pfad der
.exe wird angezeigt), dann via Taskmanager schauen, ob die .exe läuft und
abschießen; dann kann Antivir zumindest das File physisch verarbeiten.

wie gesagt hab jetzt nicht zugriff auf den pc. aber angelbich wurde der "wurm" schon des öfteren gelöscht, geblockt in quarantäne verschoben ohen fehlermeldung und das programm (spiel) läuft trotzdem.

Ich würde mal a) ohne die Software zu starten einen Scan der .exe machen
(sicherheitshalber mal nur benachrichtigen lassen und nicht gleich löschen
lassen), b) mit einem Onlinevirenscanner drübergehen (z.B. Trendmicro
Housecall; bei Antivir in der Zwischenzeit den Echtzeitscanner abschalten) und
c) die fragliche Datei bei http://www.virustotal.com/de/ hochladen und von
mehreren Scannern prüfen lassen.

Was auch noch eine Option sein könnte: Heuristik zurückdrehen (falls das bei
Antivir überhaupt möglich ist) und schauen, ob der Wurm noch immer gefunden
wird.

geb ich weiter. DANKE!

so habe news. die datei lässt sich nicht wirklich anders testen, dass sie nur wenn das programm aufgeführt wird in

c:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temp

vorhanden ist, und sobald das programm beendet wurde wieder weg ist.

ist das ein beweis für ein false positive?
-------------------------------------------------------------------
So  08.06.2008  18:00  Wien  Österreich - Kroatien
Do  12.06.2008  20:45  Wien  Österreich - Polen
Mo  16.06.2008  20:45  Wien  Österreich - Deutschland
So  22.06.2008  20:45  Wien  Spanien -  Italien

alles klar.

spiel: euro2008 von ea.
-------------------------------------------------------------------
So  08.06.2008  18:00  Wien  Österreich - Kroatien
Do  12.06.2008  20:45  Wien  Österreich - Polen
Mo  16.06.2008  20:45  Wien  Österreich - Deutschland
So  22.06.2008  20:45  Wien  Spanien -  Italien

Etwa eine Sicherungskopie?
Habe gehört, dass hier öfters verseuchte "Patches" (welche die Sicherungskopie erst spielbar machen) im Umlauf sind...
-----
The day Microsoft makes something that doesn't suck is probably the day that they start making vacuum cleaners.
-----
AMD Athlon 64 X2 3800+ | Corsair TWINX2048-3200C2 (2-3-3-6-1T) | ASUS A8N-SLI Premium | PowerColor X1950 Pro Extreme | ViewSonic VP171b | 750 GB SATA gesamt | Creative Labs Audigy 2 ZS | Logitech Z-5300 | Tagan TG430-U15 | Logitech G7 | Everglide Titan MonsterMat

afaik original frag aber nochmal nach

sodale...

ist fix ein original das aber mit einem "no-cd crack" gepatcht wurde. denke der patch kann genauso verseucht sein.

Die Datei wurde durch http://www.virustotal.com/ gejagt und es schaut aus als wärs ein wurm

http://forum.geizhals.at/files/27223/wurm.pdf

Wie ist da das korrekte vorgehen? Deinstallation des Programmes wir nehme ich an zu wenig sein. sollte man neuaufsetzten?

-------------------------------------------------------------------
So  08.06.2008  18:00  Wien  Österreich - Kroatien
Do  12.06.2008  20:45  Wien  Österreich - Polen
Mo  16.06.2008  20:45  Wien  Österreich - Deutschland
So  22.06.2008  20:45  Wien  Spanien -  Italien

Deinstallation des Programmes wir nehme ich an zu wenig sein.

Also nachdem der Trojaner nur gefunden wird wenn das Spiel gestartet ist/wird dann sollte es reichen auch nur das Spiel neu zu installieren und auf den no-cd-patch zu verzichten (muss halt mal Geld ausgegeben werden).
Falls kein Geld ausgegeben werden soll mit dem Trojaner leben oder das Spiel nicht mehr spielen.

greetz

glockman

- I don't need any sex. Life screws me every day... -

It's a Thing...

You wouldn't understand.

geht rein um die securtiy technische frage. der trojaner sollte dann weg sein?!

no-cd-patch zu verzichten

sollte die meldung danach weiterkommen dürfte von einem fehlwarnung ausgegangen werden?!
-------------------------------------------------------------------
So  08.06.2008  18:00  Wien  Österreich - Kroatien
Do  12.06.2008  20:45  Wien  Österreich - Polen
Mo  16.06.2008  20:45  Wien  Österreich - Deutschland
So  22.06.2008  20:45  Wien  Spanien -  Italien

geht rein um die securtiy technische frage. der trojaner sollte dann weg sein?!

WENN der Trojaner einfach nur im no-cd-patch sitzt ja; kann zwar sein, dass da im System einige Dateien vom Trojaner angelegt wurden die nachher noch immer da sind, aber ohne "Hauptprogramm" sind die imho harmlos.

sollte die meldung danach weiterkommen dürfte von einem fehlwarnung ausgegangen werden?!

Siehe oben; falls der Trojaner nur im Patch war wird a) die .exe-Datei nicht mehr erstellt und damit ist b) auch die Meldung weg.
Fall sie nach wie vor kommen sollte war der Patch eventuell nur der "Überbringer" eines weiteren Schädlings. Dann ist es allerdings sehr wohl empfehlenswert den PC neu aufzusetzen.

greetz

glockman

- I don't need any sex. Life screws me every day... -

It's a Thing...

You wouldn't understand.

alles klar vielen dank!

Nicht unbedingt; könnte auch nur jener Teil eines echten Virus/Trojaners/wasauchimmer sein, der eben die "Watchdog"-Funktion übernimmt.
Aber was funktionieren sollte: die Datei zur Laufzeit der Software zur Online-Virensuche schicken (dann existiert sie ja) bzw. mit einem Onlinescanner drüberfahren solange sie existiert.

Was auch noch bei einer weiteren Eingrenzung hilft: während das Programm läuft ein CMD-Prompt öffnen, dort "netstat -a -p tcp -o" eingeben und schauen, ob da eine Verbindung nach draußen aufgebaut wird.
Der Parameter "-o" hilft dabei, denn der gibt die PID an, die die Verbindung aufbaut. Welches Programm hinter der PID steckt verrät der Task-Manager.
Falls Du dort keine PIDs findest lassen sich die über "Ansicht" -> "Spalten wählen..." -> "PID" einblenden (die Registerkarte "Prozesse" muss aktiv sein).

greetz

glockman

- I don't need any sex. Life screws me every day... -

It's a Thing...

You wouldn't understand.

Alles klar. geb ich weiter danke!
-------------------------------------------------------------------
So  08.06.2008  18:00  Wien  Österreich - Kroatien
Do  12.06.2008  20:45  Wien  Österreich - Polen
Mo  16.06.2008  20:45  Wien  Österreich - Deutschland
So  22.06.2008  20:45  Wien  Spanien -  Italien

Die Datei wurde durch http://www.virustotal.com/ gejagt und es schaut aus als wärs ein wurm
http://forum.geizhals.at/files/27223/wurm.pdf

was kann das jetzt sein? wird als nix spezifisches sondern als eher gererisches erkannt... aber von vielen programmen

was würdest du als vorgehensweise sehen? danke

antivir ist kein virenschutz sondern ein zustand....

verifiziere die erkennung durch einen online scanner (trendmicro zb) oder einen standalone scanner...mcafee und nod32 kenne ich so....
wenn die negativ sind schmeiss antivir runter und nimm was ordentliches.
avast ist auch gratis und hat bessere kritiken.

geb ich weiter danke

Das klingt, als wäre dein PC-User eine Dame, die heute mit ihrem alten Acer-Notebook bei mir ankam und ein fast identes Problem schilderte bzw. zeigte.

In dem Fall war es ein (schon seit Jahren bekannter) Trojaner, der ebenfalls von Antivir gemeldet wurde und ziemlich langwierig zu entfernen gewesen wäre. Langwierig kostet Geld. Leider, aber trotzdem.

Nachdem ihr aber ihr Betreuer schon gesagt hätte, das sei ein unangenehmer Wurm, der nicht so leicht in den Griff zu kriegen sei, hat sie mich nahezu wutschnaubend mit den Worten "Da komm ich zu Ihnen, weil ich denke, Sie kennen sich aus, und dann sagen Sie mir auch nur wieder, dass das Entfernen Zeit und Geld kostet. Jetzt such ich mir jemanden, der sich WIRKLICH auskennt!" verlassen, nachdem ich ihr zu erklären versuchte, warum das bei diesem Kerl so lange dauern würde.

Euer CWsoft
+43 676 587 8890
(persönlich zu finden in Perchtoldsdorf bei i-design)

*gg* na wennst ein profi bist musst du sofort zeit haben und das schnell lösen wie sonst

na wennst ein profi bist musst du sofort zeit haben und das schnell lösen wie sonst

Du hast das Wichtigste vergessen: ...und natürlich kostenlos.

Euer CWsoft
+43 676 587 8890
(persönlich zu finden in Perchtoldsdorf bei i-design)

nona... ist für dich ja keine arbeit

Schick die Exe die als Wurm erkannt wird mal auf http://www.virustotal.com rauf und schau was die sagen.
Oder, noch besser http://anubis.seclab.tuwien.ac.at/ und dann kannst selber nachschauen was der "Wurm" macht.
Nur weil Antivir was sagt muss es noch lange nix sein

Grundsätzlich sollte die Exe wenn sie in der Quarantäne ist keinen Schaden mehr anrichten, aber so 100%ig kann man das nicht sagen.
Schau einfach ob du die Datei per Hand löschen kannst (ggf. auch im abgesichterten Modus). Sobald die exe weg ist, brauchst auch nichts in der Registry herumpfuschen (du must halt nur alle Kopien finden).

Falls du noch Probleme hast, kann ich dir vielleicht per PM helfen

Picasa Webalbum

danke! leite ich weiter

http://forum.geizhals.at/t578311,4886999.html#4886999  danke für infos!
-------------------------------------------------------------------
So  08.06.2008  18:00  Wien  Österreich - Kroatien
Do  12.06.2008  20:45  Wien  Österreich - Polen
Mo  16.06.2008  20:45  Wien  Österreich - Deutschland
So  22.06.2008  20:45  Wien  Spanien -  Italien

meiner meinung nach ja, da er ja immer wieder ausgeführt wird. grundsätzlich läuft er ja

www.it-scene.com

die exe will sich ausführen aber wird von antivir gelöscht,geblockt was auch immer. wie meinst du

grundsätzlich läuft er ja

??
-------------------------------------------------------------------
So  08.06.2008  18:00  Wien  Österreich - Kroatien
Do  12.06.2008  20:45  Wien  Österreich - Polen
Mo  16.06.2008  20:45  Wien  Österreich - Deutschland
So  22.06.2008  20:45  Wien  Spanien -  Italien

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung