Pablo Escobar August 15, 2006 Bei mir wird die Inet-Verbindung nach 2-10 min. gekappt, das System läuft instabiler und es befindet sich eine ominöse 461.tmp in der Prozessliste. http://www.winfuture.de/news,26850.html http://www.teltarif.de/arch/2006/kw33/s22739.html Richtig nervig, vorallem wenn man ISDN hat und die Verbindung getrennt wird bevor man das Update laden konnte. Diesen Beitrag teilen Link zum Beitrag
et3rn1ty August 15, 2006 Hallo Pablo. Du solltest dir die Frage stellen, ob du den Serverdienst als Prozess auf deinem Rechner laufen lassen musst? Wie du alle unnötigen Prozesse und Dienste auf deinem Rechner abstellen kannst, erfährst du hier: http://www.ntsvcfg.de/ Dort gibts auch ein kleines DOS-Programm, das dir beim Abschalten der Dienste behilflich ist. Grüße, et3rn1ty. Diesen Beitrag teilen Link zum Beitrag
Pablo Escobar August 15, 2006 Ich versteh jetzt nicht welchen Serverdienst du meinst. Falls du den Windows 2000 Server meinst, den benutze ich nciht (hab WinXP). Deshalb geh ich mal davon aus, dass es jetzt auch eine WinXP- Variante gibt. Diesen Beitrag teilen Link zum Beitrag
et3rn1ty August 15, 2006 Hallo Pablo. Vorab sei gesagt, dass Win XP und Win 2000 auf der selben Techologie konzipiert sind. Du musst den Serverdienst auch garnicht nutzen. Es reicht völlig aus, wenn dieser Dienst angeschaltet ist auf deinem Rechner. Wenn er dann nicht ausreichend geschützt ist (Firewall, Admin-Rechte), dann ist es ein Leichtes für den Wurm auf deinen Rechner zu gelangen um ihn zu infizieren. Lade dir das Toll runter und schließe die Lücke(n). Grüße, et3rn1ty. Diesen Beitrag teilen Link zum Beitrag
et3rn1ty August 15, 2006 Eine andere Alternative wäre folgende: Sytemsteuerung --> Verwaltung --> Dienste --> Server --> Doppelklicken --> Starttyp: deaktiviert --> Übernehmen --> Fertig Dieses solltest du nur tun, wenn du nicht an ein Netzwerk angeschlossen bist, denn dadurch verhinderst du jede Datei- und Druckerfreigabe auf deinem Rechner. Grüße, et3rn1ty. Diesen Beitrag teilen Link zum Beitrag
Pablo Escobar August 15, 2006 Danke. Hab in einem Trojaner- Board jetzt auch den Tipp bekommen, mein komplettes System neu aufzusetzen (formatieren), da ich mir wohl sogar noch einen 2. Wurm eingefangen hab (am gleichen Tag!). Und dieser ist noch gefährlicher weil er sich wohl eine Backdoor setzt. Und mit einem kompromittierten System will ich eher nicht leben. Aber ich werd deinen Tipp beherzigen, wenn ich mein System neu aufsetze. Diesen Beitrag teilen Link zum Beitrag
Thomas August 15, 2006 man muss doch nicht gleich mit der Keule nach einer Mücke schlagen. So ein Neuaufsetzen macht enorm Arbeit und man vergisst immer etwas zu sichern. Diesen Beitrag teilen Link zum Beitrag
Onassis August 15, 2006 · bearbeitet August 15, 2006 von Onassis LAde dir doch erstmal die folgenden zwei Programm runter: ZoneAlarm: http://www.zonelabs.com/store/content/cata...&lid=nav_za und Ad-Aware Persopnal SE: http://www.chip.de/downloads/c1_downloads_13000824.html und Antivir: http://www.chip.de/downloads/c1_downloads_12998486.html Bei Zonealarm lässt Du dann Antispyware durchlaufen, der findet schon ne ganze Menge Dann lässt Du Adaware laufen und danach antivir. Seit ich das gemacht habe ist bei mir alles sauber und es ist nie wieder was passiert, denn jetzt läuft antivir und zonealarm gleich beim booten mit hoch! Erst wenn das alles nicht geht, dann format c: Onassis Diesen Beitrag teilen Link zum Beitrag
EinInvestor August 15, 2006 · bearbeitet August 15, 2006 von EinInvestor man muss doch nicht gleich mit der Keule nach einer Mücke schlagen. So ein Neuaufsetzen macht enorm Arbeit und man vergisst immer etwas zu sichern. Formattieren würde ich die Platten vielleicht nicht unbedingt auf meinem Privatsystem, aber eine Neuinstallation kann schon ratsam sein. Denn, woher weiss ich, was über die Backdoor sonst noch alles installiert wurde und das auch weg ist? Ausserdem kann man bei er Gelegenheit eine Firewall mit installieren oder - bei einem XP-System - XP SP2 mitsamt der eingebauten Firewall draufpacken. Automatische Updates am besten auch gleich anschalten. Des Weiteren Daten und System sauber trennen (System nach C:, Daten auf eine eigene Partition D: oder E:). Nur das Profil bekommt man ohne grössere Aktion (man muss genau wissen, was man tun muss) nicht von C: weg - da hilft nur regelmässiges Backup. Bei einem Window 2000 oder Windows XP lohnt sich sicher auch der Aufwand als normaler Benutzer ohne Admin-Rechte zu arbeiten. Ist zwar manchmal etwas unbequem und für die eine oder andere Software muss man dann an den Rechten drehen (mein Palm braucht das z.B.), aber so kann man das unbeabsichtige Einschleppen von Schadsoftware über IE-Lücken - was den möglichen Schaden angeht - eingrenzen. Am Ende nach getaner Reinstallation mal mit Acronis TrueImage oder analoger Software auf DVD brennen und beim nächsten Mal von da die C:-Partition einfach wieder einspielen. Dauer des Wiedereinspielens von einem Image: Unter einer Stunde. Die nachfolgend noch notwendigen Updates, die in der Zwischenzeit von Microsoft kamen, dauert bestimmt länger. ;-) Diesen Beitrag teilen Link zum Beitrag
Pablo Escobar August 15, 2006 · bearbeitet August 15, 2006 von Pablo Escobar Also ich habe den Wurm ja jetzt schon entfernt, was mich aber stutzig macht sind unter anderem diese Aussagen: Nach der Infektion eines Rechners bauen die Mocbot-Varianten eine Verbindung zu einem IRC-Server her und warten dort auf Anweisungen von dem Botnetzbetreiber. Der Servername ist bekannt: Mocbot verbindet auf TCP-Port 18067 zu bniu.househot.com sowie zu ypgw.wallloan.com, falls der erste Server nicht erreichbar ist. Es handelt sich dabei um dieselben IRC-Server, die die ursprünglichen Mocbot-Varianten verwendet haben. Die beiden IRCBot-Varianten setzen sich als wgareg.exe beziehungsweise wgavm.exe im Windows-Systemverzeichnis fest. Diese Dateien sind anschließend als Wndows-Dienst Windows Genuine Advantage Registration Service respektive als Windows Genuine Advantage Validation Monitor registriert und starten mit Systemrechten beim Hochfahren des infizierten Rechners. Der Bot-Netzbetzreiber kann dann beliebige Befehle an infizierte Rechner absetzen; eingebaut in den Schädling sind unter anderem Routinen für SYN-Floods, DDoS-Attacken, das Öffnen einer Shell sowie Funktionen zum Suchen und Infizieren von verwundbaren Rechnern. Die infizierten Rechner sollen möglicherweise von Spammern missbraucht werden. Die Antivirenhersteller liefern inzwischen aktualisierte Signaturen aus, mit denen die Würmer erkannt werden. Quelle: http://www.heise.de/security/news/meldung/76768 Also müsste ja jemand bewusst Zugriff auf meine Daten gehabt haben, denn es wurden sogenannte DOS- Attacken ausgeführt (erkundige mich aber gerade ob der Wurm das auch per Script macht). Würde es sich um einen normalen Wurm handeln, der keiner Person einen bewussten Zugriff erlaubt, würde ich auch nicht unbedingt mit den Gedanken des Formatierens spielen. Aber da dies sehr wahrscheinlich ist.... BTW: Den Wurm erkennt derzeit nichtmal das Mircosoft Removal Tool... Bei einem Window 2000 oder Windows XP lohnt sich sicher auch der Aufwand als normaler Benutzer ohne Admin-Rechte zu arbeiten. Ist zwar manchmal etwas unbequem und für die eine oder andere Software muss man dann an den Rechten drehen (mein Palm braucht das z.B.), aber so kann man das unbeabsichtige Einschleppen von Schadsoftware über IE-Lücken - was den möglichen Schaden angeht - eingrenzen. Auf diese Idee bin ich ja noch garnicht gekommen. Diesen Beitrag teilen Link zum Beitrag
