Bekomme Virus nicht weg.

Dieses Thema im Forum "Sicherheit" wurde erstellt von Schemmy, 25. August 2003.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Schemmy

    Schemmy Kbyte

    Registriert seit:
    10. Juni 2003
    Beiträge:
    218
    Hi!

    Habe ebenfalls die Viren: w32.Kwbot.Worm; w32.Blaster.Worm
    Die Dateien sind befallen: cmd32.exe und msblast.exe

    Könnt ihr mir sagen, was diese Viren bewirken und wie ich sie weg bekomme?? Kann sie nicht löschen, da sie anscheinend beim Win. Start geöffnet werden. Wo bekomme ich mehr informationen über den Wurm der sich so stark verbreitet??

    Danke James
     
  2. James

    James Byte

    Registriert seit:
    15. Oktober 2000
    Beiträge:
    122
    Viellen Dank für deine ausführliche Auskunft. Hmmm... ja das mit dem formatieren hab ich gut drauf... kommt bei mir oft vor... Misst... was für ein Virus... Gibts da cuh ein Patch dafür?? Damit ich bei der nächsten KazaLite instalation nicht schon wieder das Ding drine habe?
     
  3. Schemmy

    Schemmy Kbyte

    Registriert seit:
    10. Juni 2003
    Beiträge:
    218
    Ich habe mich mal schlau gemacht. Es ist ein Wurm! Damit wird es Kazaa Usern ermöglicht Systemdateien von euch zu ziehen und dateien zu verändern. Hier eine Beschreibung von der Seite der Uni Karlsruhe:

    W32/Kwbot-C (11.02.03, akt. (+) 28.11.03)
    Alias: Worm.P2P.Tanked.14 [KAV], Win32/HLLW.Kwbot.C [RAV]
    Typ: W32-Massen-E-Mail-Wurm
    Betroffen: 32-Bit Windows-Systeme mit KaZaA- und iMesh-Installationen
    Verbreitung: über KaZaA- und iMesh-Netze

    Beschreibung: kopiert sich nach
    %System%\System32.exe
    %System%\Cmd32.exe
    ("%System%" steht für die Verzeichnisse \System\ oder \System32\ im Windows-Stammverzeichnis)
    modifiziert die Registry, sodaß der Wurm bei jedem Systemstart automatisch gestartet wird (s.u.)
    erzeugt den Registry-Unterschlüssel "krypton" (s.u.)
    modifiziert u.U. den Inhalt des Registry-Wertes "Shell", sodaß der Wurm bei jedem Systemstart automatisch gestartet wird (Win NT/2000/XP)(s.u.)
    erzeugt eines der folgenden Verzeichnisse:
    %Windows%\UserTemp
    %Windows%\User32
    ("%Windows%" steht für das Windows-Stammverzeichnis)
    kopiert sich in das erzeugte Verzeichnis und setzt das Dateiattribut auf "versteckt". Mögliche Dateinamen sind u.a.:
    Age of Empires 2 crack.exe
    Battlefield1942_bloodpatch.exe
    Download Accelerator Plus 6.1.exe
    Guitar Chords Library 5.5.exe
    iMesh 3.7b (beta).exe
    KaZaA Speedup 3.6.exe
    MediaPlayer Update.exe
    NBA2003_crack.exe
    Network Cable e ADSL Speed 2.0.5.exe
    UT2003_keygen.exe
    fügt der Registry einen Wert hinzu, sodaß andere KaZaA- oder iMesh-Benutzer Dateien aus den Verzeichnissen
    %Windows%\UserTemp oder %Windows%\User32 hernterladen können (s.u.)
    Anmerkung: Damit sich der Wurm verbreiten kann, müssen KaZaA- oder iMesh installiert sein
    beinhaltet eine Trojanerkomponente, die 2 zufällig gewählte TCP- und UDP-Ports öffnet, um sich mit dem Hacker verbinden zu können
    wartet auf Kommandos vom Hacker, die es über einen eigenen IRC-Kanal erhält. Die Kommandos erlauben es dem Hacker, die folgenden Aktionen durchzuführen:
    den Wurm aktualisieren
    System- und Netzwerkinformationen des befallenen Rechners übermitteln
    Herunterladen und Ausführen von Dateien
    Denial of Service- (DoS-) Attacken gegen beliebige Rechner ausführen
    den Wurm an andere IRC-Benutzer schicken

    Registry: Autostart:
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
    HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
    SystemSAS system32.exe
    CMD cmd32.exe
    krypton:
    HKLM\Software
    Shell:
    HKLM\Software\Microsoft\Windows\CurrentVersion\Winlogon
    explorer.exe C:\
    (z.B.: Shell explorer.exe C:\Windows\system32\cmd32.exe)

    KaZaA-/iMesh-Download:

    HKCU\Software\Kazaa\LocalContent
    HKCU\Software\iMesh\Client\LocalContent
    Dir 012345:%Windows%\UserTemp
    oder:
    Dir 012345:%Windows%\User32

    So, das sind die infos über den Wurm, was du nun damit machst, musst du selbst wissen, ich würde mein system formatiren (ist fast schon ein hobbie von mir*gg*)
     
  4. James

    James Byte

    Registriert seit:
    15. Oktober 2000
    Beiträge:
    122
    Das war ein Tippfehler. :-)

    Aber trotzdem bekomme ich die Datei nicht weg... was soll ich tuen?
     
  5. Schemmy

    Schemmy Kbyte

    Registriert seit:
    10. Juni 2003
    Beiträge:
    218
    ja, ich kenne auch nur cmd32.exe, cdm32.exe ist entweder der wurm oder nur ein tippfehler.....
     
  6. ReneW

    ReneW Megabyte

    Registriert seit:
    28. Mai 2000
    Beiträge:
    2.486
    kenne nur cmd32.exe und ist keine Systemdatei, sondern der Wurm
     
  7. James

    James Byte

    Registriert seit:
    15. Oktober 2000
    Beiträge:
    122
    Habe den Blaster wegbekommen, die cdm32.exe ist aber immer noch infiziert, trotz patch und so weiter... was nun?
     
  8. autum

    autum Kbyte

    Registriert seit:
    17. Dezember 2002
    Beiträge:
    330
    Helfen die (vielen) Threads zum Thema hier im Forum nicht weiter?
    Zusätzlich: http://www.bsi.de/av/index.htm
    Gruß autum
     
  9. Falke070

    Falke070 Byte

    Registriert seit:
    2. September 2003
    Beiträge:
    10
    Mit dem Blaster Wurm, habe ich keine Probleme und kann dir folgende Tipps geben!


    1.) Immer wenn der Computer herunterfahren will, gehe sofort auf START->AUSFÜHREN und tippe folgendes ein:"shutdown -a"
    Mit diesem Befehl wird der das Herunterfahren gestoppt. Somit hast du genug Zeit zum die nächsten Schritte auszuführen

    2.) gehe aufhttp://www.symantec.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html und lade dir FixBlast herunter. (irgendwo in der Mitte ist der Link)

    3.) Lade den Sicherheitspatch für Windows herunter unter
    http://www.microsoft.com/germany/ms/technetservicedesk/bulletin/bulletinms03-026.htm
    und installiere ihn.

    Nun kann dir der Virus nichts mehr anhaben!
     
  10. rolando62

    rolando62 Kbyte

    Registriert seit:
    23. Juli 2002
    Beiträge:
    391
  11. dieschi

    dieschi CD-R 80

    Registriert seit:
    25. Januar 2002
    Beiträge:
    7.656
    Roland, das verträgt sich aber nicht :D ...

    @James

    Wenn du Kazaa ernsthaft weiter nutzen möchtest besorge dir dringenst den besten AV-Jäger den es gibt!

    Roland hat den Link ja gesetzt: http://www.avp.ch

    Denk auch daran ihn immer upzudaten sonst kannste aus deinem Hobby PC bald nur noch eines wöchentlich machen: Format C: ...

    Gruß, dieschi
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen