Zum Inhalt springen
IGNORED

HILFE! WURM!


Gast Mouche

Empfohlene Beiträge

Geschrieben

Hi Computerexperten-

ich hab da wohl ein Weihnachtsgeschenk der besonderen Art erhalten pissed.gif- mein AntiVir meldet mir im Minutentakt die Wahrnehmung einer verdächtigen Datei mit der Signatur eines Wurms namens Mumu.B.4 !

Das NERVT kolossal ! Ich hab schon alles (mir) mögliche probiert-ich krieg den Sch.. nicht weg mad1.gifmad1.gif

Hat da jemand eine Idee? confused.gifconfused.gifconfused.gif

Mouche

Geschrieben

Hi Mouche,

hab mal ein wenig gesucht:

Der Netzwerk-Wurm W32/Muma enthält eine Reihe von Dateien und Hacking-Werkzeugen. In der ersten Variante, die gemäss einer Beschreibung der finnischen Antivirus-Experten von F-Secure anfangs Juni 2003 gefunden wurde....

Eine zweite Variante (Muma.B) des Wurms unterscheidet sich vom ersten dadurch, dass es nur zwei Dateien sind, die dorthin kopiert werden...

WICHTIG:

Falls Ihr PC mit dem Muma-Wurm befallen ist, sollten Sie als erstes bei allen PCs in Ihrem Netzwerk die administrativen Freigaben entfernen. Anschliessend können Sie den «Stinger», ein spezielles Viren-Beseitigungsprogramm von NAI [4] verwenden, um den Schädling aus Ihrem PC zu entfernen oder je nach Mumu-Variante das entsprechende Beseitigungsprogramm von Symantec gegen die A-Variante [5] oder die B-Variante [6] des Wurms. Sind alle Wurmkomponenten entfernt, vergeben Sie nach dem nächsten PC-Start allen Benutzern neue Passwörter. (sal)

Bei den Zahlen wie [6] sind Links hinterlegt zu Programmen, die den Wurm entfernen. Für deinen Wurm:

Hier klicken smile.gif

Die Quelle - falls Du alles lesen willst : http://www.pctip.ch/helpdesk/virenticker/archiv/24536.asp?

Viel Erfolg

Bandit_911

Geschrieben

DANKE wink.gif!!!

Das Schw..ist gekillt icon14.gificon14.gificon14.gif

Auf die Stinger Seite war ich über einen Link des BSI auch gestoßen - es gab sogar eine aktuelle Wurmwarnung dort-nur die kannten "Mumu" weder als Wurm noch als Alias-Name cool.gif-hatten aber das Stinger Programm empfohlen.Ich hab es einfach mal aus lauter Verzweiflung blind blush.gif angewandt-und das war`s dann wohl grin.gif.

Himmel-hat DAS genervt shocked.gif - deshalb nochmals Dank an alle Tipgeber icon14.gif-ich hab mir alle Seiten zur Vorsicht mal gespeichert cool3.gif.

Ist einfach schön, zu wissen,daß man hier auch jenseits von Pulver und Blei Hilfe findet wink.gifwink.gifwink.gif

Wünsche frohe Rest-Weihnachten-

es grüßt ein dankbarer und erleichterter

Mouche wink.gif

Geschrieben

Da war die Freude wohl etwas verfrüht frown.giffrown.giffrown.gif

Ich hab das Stinger Programm angewendet - hab dann eine zeitlang Ruhe - und dann kommt das Mistvieh wieder mad1.gif

Was mach ich nur falsch confused.gifconfused.gif

Ich hab Anti Vir und Zone Alarm auf dem Kasten - und jetzt hab ich trotzdem immer wieder dieses Mistvieh shocked.gifshocked.gif?????

Mouche - wieder ratlos blush.gif

Geschrieben

Probier mal das Entfernungstool von Symantec (siehe mein Posting oben), denn die unterscheiden zwischen Version A und B.

Vielleicht hilft's.

Such mal nach NTSERVICE.BAT und IPCNL.EXE. Die Dateien müssten unter C:WindowsSystem32 oder C:WINNTSystem32 zu finden sein.

Das sind die Dateien, die der Wurm dorthin kopiert hat. Schau mal, ob Du sie hast.

Dann probiere das Entfernungstool von Symantec (hab ich das schon gesagt smirk.gif)

Zone Alarm nutzt da meist nicht viel. Denn wenn Du es downgeloadet hast aus einer Mail oder dergleichen, dann hast Du ja dein Einverständis gegeben und die Firewall kann nix mehr tun.

Außerdem tricksen diese Dinger die Firewalls auch oft aus (zumindest softwarebasierte wie ZoneAlarm oder ähnliche).

Nochmals viel Erfolg

Bandit_911

Geschrieben

Da kann ich auch nur zustimmen.

Einfach das Removal Tool von Symantec runterladen,ausführen und deine Anti-Viren Software updaten.

Der Virus verbreitet sich übrigens über freigegebene Laufwerke unter Windows.Daher den Port 139 in der Firewall sperren oder Dienst für Laufwerksfreigabe deaktivieren.

Geschrieben

Hallo, und lies auch mal, was Symantec im Vorwort dazu schreibt: Wenn Du Windows XP benutzt, musst Du allerdings deine gesamten vorherigen Wiederherstellungspunkte in den Rauch schreiben; denn du musst die Wiederherstellungsfunktion deaktivieren; dann das System "reinigen", und danach den V-Scanner nochmal laufen lassen und danach erst wieder die Wiederherstellung aktivieren. Ansonsten stellt nämlich XP den Zustand VOR dem Reinigen wieder her, weil das System annimmt, es wurde etwas "widerrechtlich" verändert.

Also ohne Abschaltung der Systemwiederherstellung lädst Du Dir den Wurm jedesmal neu wieder, denn er ist auch in der Wiederherstellungsdatei "versteckt" und da kommt auch Symantec nicht dran. Erst durch die Deaktivierung wird auch der "geschützte" Speicher für die Reinigung freigegeben, und deine Mistviecher können dann entsorgt werden..

Gruesse

Muni

Und nicht vergessen, danach wieder die Systemwiederherstellung zu aktivieren!!

Geschrieben

HAllo Mouche,

ich war letzte Woche auch mit dem Wurm oder einer Abart davon (sobig C oder so ähnlich ) konfrontiert. Allerdings laufen meine Maschinen alle noch unter Win98 SE. War keine leichte AUfgabe aber in Win98 ist es lösbar. Brauchst ein Programm, mit dem Du die Startprogramme beim Booten sichtbar machen kannst (evtl. Startmanager etc..) - musst dann die Datei oncom64api.exe oder so ähnlich aus dem Startvorgang herausnehmen. Befand sich bei mir übrigens im Unterverzeichnis C:windowssystem !! Danach musst Du diese o.a. vom Wurm generierte .exe-DAtei löschen, was nur geht, wenn Du die Datei zuvor aus dem Startvorgang raus hast, weil Sie ansonsten von Windows in Benutzung ist und daher nicht gelöscht werden kann. Mit Antivir und anderen Wurmentfernungstools konnte ich den Wurm auch nicht nachhaltig entfernen - der kam früher oder später immer wieder Jetzt habe ich aber definitiv schon seit mehreren Tagen Ruhe.

mein Tip: Wenn Du kannst, geh zurück auf Win98 (SE).

Geschrieben

In Antwort auf:

mein Tip: Wenn Du kannst, geh zurück auf Win98 (SE).


Nun ja, außer das Microsoft die Betreuung einstellt und keine weiteren Updates mehr für Win98 (auch SE) anbietet ist Win98 nicht schlecht.

Aber zurückgehen würd ich nicht empfehlen. Wie lange möchtest Du Win98 denn nutzen? Irgendwann wird auch bei Programmen Win98 nicht mehr unterstützt werden...wie heute schon bei Win95.

Ich bin zwar kein Experte, aber auch bei Win98 bekommst Du Viren, Würmer und Trojaner. Und ob es da einfacher geht, diese zu entfernen, wage ich zu bezweifeln.

Halte den Virenscanner aktuell (meiner updatet sich jeden Tag), halte das Betriebssystem aktuell (nach Sicherheitsupdates suchen) und öffne keine Mailanhänge von unbekannten Absendern auch wenn es noch so verlockend ist.

Ich habe letzte Woche eine Strafanzeige gegen mich per Mail von der Kripo Düsseldorf erhalten chrisgrinst.gif, in dem Anhang war ein Virus.

Dann ein Klassenfoto von einem "ehemaligen Mitschüler", das ich mir ansehen sollte, auch ein Virus.

Die Mails werden immer einfallsreicher, daher nicht öffnen, auch wenn es noch so verlockend klingt. Und wenn möglich einen Mailanbieter wählen, der einen guten Virenscanner hat (z.B. Sophos) und die Mails schon für Euch prüft. Das ersetzt aber nicht euren eigenen Virenwächter. smirk.gif

Wenn man doch einen Virus hat, nach Entfernungstools googeln tongue.gif

Ach so, ich glaube die von Dir beschriebene Datei oncom64api.exe stammt nicht vom Wurm, den Mouche sich eingefangen hat. Glaube nicht, das er sie hat, kann mich aber auch irren.

Bandit_911

Geschrieben

@ all:

Danke für Eure guten und gutgemeinten Tips - aber es bleibt rätselhaft! Alle MS Patches sind geladen, ich öffne niemals unbekannte Anhänge, ich habe Stinger und Symantec angwandt-ich habe die Freigaben wie von S. beschrieben mit dem Autostart geblockt -und es donnert eine Wurmwarnung nach der anderen rein frown.gif.

Schade,daß man dagegen nicht mit der 12/70 angehen kann - ich bleib dran rolleyes.gif

Gruß Mouche

Geschrieben

In Antwort auf:

Doch kann man, aber das gibt einen spektakulären Abgang für Wurm und Rechner!


Warum den gesamten Rechner?

1.Festplatte in Wurfmaschine.

2.BDF

3.TREFFEN!!!!!

4.Wurm beseitigt!

Geschrieben

Na Leute- ich will es dann doch etwas weniger spektakulär versuchen blush.gif.

Durch einiges Arbeiten schaff ich jetzt schon zwei Stunden im Net ohne erneute Attacke-ob das so bleibt confused.gif.

Jedenfalls ist MS "Kopfgeld-Fonds etwas,was ich augenblicklich sehr begrüßenswert finde icon14.gif.

Vielleicht sollte MS einfach auch mal mehr in Sicherheit investieren? Ich versteh davon zu wenig - aber nach meinen aktuellen Erlebnissen würde ich lebenslänglich für Hacker und Co. schon begrüßen chrisgrinst.gif.

Mouche

Geschrieben

Ja icon14.gif-das ging problemlos! Ich hab auch damit das letzte Mal gesäubert.

Im Augenblick ist auch Ruhe - und zwar nachdem ich die deutsche Version des Zone Labs geladen und anschließend nochmals das Symantec UND das Stinger habe laufen lassen.

Just for fun hab ich die Warnmeldungen von ZA nicht deaktiviert - einfach mal um zu sehen, was abgeht: (82!!!!)Angriffe bei der ersten Internet-Öffnung (ca. 2 Stunden).Jetzt ist es ruhiger geworden.Ob ich damit eine dauerhafte Lösung gefunden habe - oder doch noch Norton her muß confused.gif - schaun wir mal grin.gif.

Jedenfalls dank ich allen Beteiligten nochmals - ich hab da eine Menge neuer Infos und Links bekommen.

Ach war ich glücklich als es noch keine Computer gab wink.gif-

andererseits ohne Computer kein WO und ich würd Euch alle nicht kennen frown.gif-ist also auch wieder nix grin.gif

Happy 2004 wünscht Allen "on Board"

Mouche

Geschrieben

In Antwort auf:

Schade,daß man dagegen nicht mit der 12/70 angehen kann - ich bleib dran
rolleyes.gif

Gruß Mouche


Hi Mouche,

können schon. chrisgrinst.gif Dann hast du morgen Schlagzeile in der "Blöd"-Zeitung:

IRRER SPORTSCHÜTZE ERSCHOSS SEINEN COMPUTER MIT PUMPGUN wink.gif

Also versuch`s lieber mit Norton Antivirus... icon14.gificon14.gificon14.gif

Beruhigt ungemein. icon14.gificon14.gificon14.gif Du hast keine Ahnung, was mir die lieben Tierschutz*rsche so tagtäglich zuschicken wollen.

Sollte ich glatt mal retournieren... pissed.gif

Varminter

Geschrieben

In Antwort auf:

Just for fun hab ich die Warnmeldungen von ZA nicht deaktiviert - einfach mal um zu sehen, was abgeht: (82!!!!)Angriffe bei der ersten Internet-Öffnung (ca. 2 Stunden).


Auch auf die Gefahr, das ich den Thread unnötig verlängere, aber was meinst Du mit 82 Angriffen?

Steht da "Alert" und das jemand versucht, von außen in deinen PC einzudringen? Wenn ja, dann hat das aber wahrscheinlich nichts mit dem Wurm zu tun. Das jemand aus dem Internet auf deinen PC zugreifen will, braucht dich nicht zu beunruhigen, denn das ist normal und oft auch überhaupt nichts böses. Wenn 82 auch verdammt viel ist...

Hattest Du vorher keine "Angriffe" aus dem Netz?

Klar kann es aber auch ein böswilliger Versuch sein, Zugang zu deinem Rechner zu erlangen. Leider.

Wie auch immer, ich wünsch Dir auch einen guten - virenfreien chrisgrinst.gif - Rutsch ins neue Jahr.

Bandit_911

Geschrieben

Also da muß ich doch widersprechen blush.gif-

natürlich würde ich nur mit der BDF chrisgrinst.gif-

und ich glaube nicht mal BLÖD würde ein derartiges Vorgehen als "Irr" bezeichnen chrisgrinst.gif,denn ich bin mir sicher,JEDER Computerbetreiber hat einen ähnlichen Wunsch schon mal verspürt grin.gifgrin.gif

Es geht leider trotzdem nicht:Es gibt dafür keine zugelassene Disziplin 021.gif021.gif

Mouche wünscht fröhliches 2004

Geschrieben

Jo Bandit - genau so ist es. Ich kann ja selbst nicht erkennen, ob es nun ein gutartiger Zugriff oder bösartiger Angriff ist. Mir ist bisher ähnliches nur einmal mit dem Lovesan Wurm passiert - und der war nach dem ersten Reinigungsprogramm und Updaten wieder weg.

DAS jetzt war?ist? schon erheblich hartnäckiger.

Jedenfalls,toi,toi,toi - bis jetzt nichts mehr cool.gif

Mouche

Geschrieben

bin heut auch ein paar mehr minütchen im netz gewesen, bekam denn auch diverse warnungen vom zonealarm und hab dann über visualzone mal rückverfolgt von wo, viel amsterdam adressen

aber mal ganz ernst, wer ohne virenschutz im netz surft, und dann noch vielleicht über den eigenen firmenpc, ....

hässlich ist zur zeit zeit soberc.c@mmc

Archiviert

Dieses Thema ist jetzt archiviert und für weitere Antworten gesperrt.

×
×
  • Neu erstellen...

Wichtige Information

Bitte beachten Sie folgende Informationen: Nutzungsbedingungen, Datenschutzerklärung, Community-Regeln.
Wir haben Cookies auf Deinem Gerät platziert. Das hilft uns diese Webseite zu verbessern. Du kannst die Cookie-Einstellungen anpassen, andernfalls gehen wir davon aus, dass Du damit einverstanden bist, weiterzumachen.