5 Variationen v. W32/Opaserv...

Dieses Thema im Forum "Sicherheit" wurde erstellt von leule, 29. Oktober 2002.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. leule

    leule Byte

    Registriert seit:
    18. April 2000
    Beiträge:
    67
    ihn schon wieder. Gestern hab\' ich meinen Provider angerufen, weil ich mir denken könnte, daß er von ihm kommt, denn ich muß ja nicht einmal surfen, es genügt schon, wenn ich den Browser nur aufmache. Die behaupten aber, sie hätten alles überprüft, von ihnen käme er nicht. Dann bleibt doch nur die
    Möglichkeit, daß ich irgend eine Datei auf meiner Platte habe, die dieses Spiel dauernd inszeniert, oder ?

    Die Anweisungen aus dem Internet wie: Im abgesicherten Modus "win.ini und WindowsRoot" zu reinigen habe ich mehrmals getan. Die Dateien "put.ini, scrsin.dat und scrsout.dat" habe ich nie vorgefunden.

    Ich fahre Win 98SE und habe KEIN Netzwerk und mein Virusprogramm ist AVP
    Habt Ihr vielleicht irgend eine Idee, was ich da noch unternehmen könnte ?

    Mit großer Hoffffffffffnung
    Gerhard
     
  2. leule

    leule Byte

    Registriert seit:
    18. April 2000
    Beiträge:
    67
    Servus, Markus !

    Ich habe diese Datei unbenannt u.s.w., aber nun ist der Port 135
    wieder offen und das, so habe ich gehört, ist eine sehr gefährdete Adresse. Soll ich nicht doch besser wieder den ZoneAlarm aktivieren ?

    Grüße
    Gerhard
     
  3. leule

    leule Byte

    Registriert seit:
    18. April 2000
    Beiträge:
    67
    Grüß Dich, Markus !

    Ich werde das so machen, wie Du es beschreibst. Was den Kasperky anlangt: Den habe ich und zwar Ver. 3.5.133.0 und bin damit auch sehr zufrieden. Er checkt auch täglich meine C:\Platte
    durch. Und er kam auch dauernd hoch, als ich ZoneAlarm noch nicht hatte. (Wobei er nur auf die fünf Datei-Varianten im Windows-Ordner hinwies und nicht auf die Einträge in Win.ini und Registry)

    Danke Dir nochmals herzlich, ich mach mich an die Arbeit :-)

    Liebe Grüße
    Gerhard
     
  4. Gast

    Gast Guest

    Hallo!

    &gt;<I>Ich habe die Firewall gewählt, weil ich eben mit den Anleitungen des Links die Ports 137 und 139 nicht schließen konnte.</I>

    Die ist keine nachhaltig sinnvolle Lösung. Besser ist es, die Dienste zu beenden (siehe mein Posting bezüglich vnbt.386).

    &gt;<I>Habe ich gemacht und damit dort eine kleine Diskussion ausgelöst, die für mich darin mündete, daß ich eine Firewall eigentlich für das Beste hielt. </I>

    Warum? Du versuchst, eine unsicher konfigurierte Anwendung (Dein Betriebssystem) mit einer ebenso unsicheren, in weiten Teilen nur verunsichernden und irreführenden Software "sicher" zu machen. Das halte ich für den eindeutig falschen Weg!

    &gt;<I>Zum Verständnis: Wenn ich online bin, klicke ich wirklich beinahe dauernd den Alarm weg. Da würde mich schon interessieren, wer da zugange ist.</I>

    Das ist bereits eine der von mir angesprochenen Verunsicherungen. Daher mein Tipp: Dienste schließen, ZoneAlarm deinstallieren!

    Grüße, Markus
     
  5. Gast

    Gast Guest

    Hallo Gerhard,

    ganz einfach Lösung:
    Die Datei <B>vnbt.386</B> in &gt;Windwos &gt;System in <B>vnbt.386.old</B> umbenennen, WIN rebooten, ZoneAlarm deinstallieren, WIN erneut rebooten.

    Dann man das System komplett mit einem guten AV-/Trojanerscanner durchprüfen:
    http://www.datsec.de/frame.asp?b=b5&p=p2

    Diese Testversion und UpdatePack 3 laden, Beide nacheinander installieren, WIN rebooten. Danach KAV auf den neuesten Signaturenstand bringen, und Deinen Rechner dann durchprüfen lassen.

    Grüße, Markus
     
  6. leule

    leule Byte

    Registriert seit:
    18. April 2000
    Beiträge:
    67
    Vielen Dank für Deine rasche Antwort und die Erklärungen. Ich habe die Firewall gewählt, weil ich eben mit den Anleitungen des Links die Ports 137 und 139 nicht schließen konnte. Am Ende der Anleitung stand auch, daß das möglich wäre und man deshalb nicht ausflippen müßte sondern in das .....Forum schreiben solle. Habe ich gemacht und damit dort eine kleine Diskussion ausgelöst, die für mich darin mündete, daß ich eine Firewall eigentlich für das Beste hielt. Entschuldige meine nochmalige Erklärung, aber irgendwie hatte ich das Gefühl, das könnte notwendig sein.

    Was die Portscans anlangt möchte ich Dich fragen, ob Du vielleicht weißt, wo man sich hinwenden kann, um mehr darüber zu erfahren. Zum Verständnis: Wenn ich online bin, klicke ich wirklich beinahe dauernd den Alarm weg. Da würde mich schon interessieren, wer da zugange ist.

    Gruß
    Gerhard
     
  7. Hase1975

    Hase1975 Byte

    Registriert seit:
    15. Oktober 2002
    Beiträge:
    17
    Der Wurm installiert sich auf jeden Fall nur wenn die Netbios Ports 137,138,139 offen sind. Dann kommt der Wurm auf deinen Rechner. Wenn es mit dem schließen der Ports nicht geklappt hat kann man ZoneAlarm als Notbehelf akzeptieren.
    Normalerweise erkennt man das die Netbios Ports offen sind wenn man sofort nach dem Rechnerstart auf
    Start -&gt; Programme -&gt; MSDosEingabeaufforderung geht. Dann öffnet sich entweder eine DosBox im Fenster oder auch im Vollbildmodus. Dann muß man nur noch
    netstat -an
    eingeben und es werden deine offenen Ports aufgelistet nach dem Schema 123.123.123.123:137 (ipnummer hinter dem Doppelpunkt der offene Port). Sind diese nicht offen auch während du im Internet bist kann sich dir Wurm eh nicht installieren. Er scannt nur einen IP Bereich ab nach offenen Netbios Ports. Wenn du ZoneAlarm installiert hast bekommt er keine Rückmeldung, der Port ist Stealth. Wenn der Port geschlossen ist und man keine Firewall benutzt bekommt er als Antwort Closed, das heißt der Port ist zu.
    Gegen die Portscans kann man eigentlich nichts machen aber die sind auch nicht weiter wild.

    Gruß
    Matze
     
  8. leule

    leule Byte

    Registriert seit:
    18. April 2000
    Beiträge:
    67
    Grüß dich !

    Danke vielmals für Deinen Tip. Leider hat die Anleitung bei mir nicht den gewünschten Erfolg gebracht. Auch ein Eintrag ins Trojaner-Forum brachte mir nur so viel Klarheit, daß ich jetzt hinter ZoneAlarm sitze und tatsächlich zumindest von dem Wurm eine Ruhe habe.
    Ich hoffe nur irgenwann erklärt mir jemand, wer mich alle 20 Sekunden (in etwa, manchmal sind es auch alle 5 Sekunden) scannt. Gleich wenn ich online gehe, bekomme ich sofort zwei Alarm-Meldungen, daß jemand zugreifen wollte. Ich habe mir zwar NeoTrace für Private installiert, aber leider fange ich mit den Daten nichts an, (vielleicht lege ich mir doch noch ein wenig mehr Intelligenz-Speicher zu :-))

    Jedenfalls danke für Deine Hilfe
    Gerhard
     
  9. Hase1975

    Hase1975 Byte

    Registriert seit:
    15. Oktober 2002
    Beiträge:
    17
    Hallo!

    Der Virus Opaserv kommt über die offenen Netbiosports(137 - 139) auf deinen Rechner. Du mußt diese Ports nur schliessen und dann müßtest du Ruhe habe.
    Eine Anleitung findest du hier : http://www.trojaner-info.de/sicherheit/betriebssystem/schritt5_neu.htm
    klicke einfach auf Port 137 - 139 und du erhältst die Anleitung.

    Gruß
    Matze
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen