Wurmbefall - Computercracks gesucht

    Moin Gemeinde!

    Habe da ein wirklich lästiges Computerproblem. Habe einen Wurm (oder ähnliches Ungeziefer) im System, der ab und an, wenn er gerade Lust hat, einen Shutdown startet. Antivir hat ihn nicht gefunden, mittlerweile ist ein anderer Virenscanner drauf (irgendwas, das mit a beginnt), der jedoch ebensowenig erfolgreich ist.
    Man kann den Shutdown zwar mit "shutdown -a" abbrechen, aber dann geht die Rechnerleistung ganz heftig in die Knie. Es handelt sich definitiv nicht um die Würmer "Sasser" oder "Blaster", da die jeweiligen Removal-Tools nichts gefunden haben.
    Kann mir da irgendjemand auf die Schnelle weiterhelfen, wie ich das Problem lösen kann?

    Saluti e grazie!

    Michi

    Schaue zunächst nach, ob du im Task-Manager unter "Prozesse" sowas findest wie: "avsvr" oder "avsvr2" oder "msblast". Beende diese Prozesse!

    Dann suchst du mittels Regedit die Einträge dieser Tasks (Suchfunktion) und löschst die Schlüssel, in denen sie vorkommen.

    Damit dürfte Ruhe sein.

    Weitere Infos: http://www.bsi.de :-]

    Gruß,
    JTD

    Zitat von JTD

    Dann suchst du mittels Regedit die Einträge dieser Tasks (Suchfunktion) und löschst die Schlüssel, in denen sie vorkommen.

    Merci vielmals! Mit obiger Zeile allerdings kann ich als Computerlaie leider herzlich wenig anfangen! Wer oder was ist Regedit? Und was bedeutet "Schlüssel löschen"?

    Fragende Grüße vom

    Computerlaien

    Okay, also vooooorischtig dann.

    Regedit ist ein Programm, mit dem man die sog. Systemregistierung von Windows bearbeiten kann. Die Systemregistierung speichert alle Einstellungen deines Rechners, also z.B. welcher Dateityp (z.B. Word) mit welchem Programm aufgeht, aber auch Starteinstellungen, d.h. welche Programme beim Hochfahren geladen werden.

    Damit Viren beim Hochfahren geladen werden können, tragen sie sich in die Registrierung ein. Du musst sie von Hand entfernen.

    Das geht so:

    1. Klick auf Start->Ausführen
    2. Gib "regedit" ein und Klicke auf OK

    Der Registirerungs-Editor startet. Du siehst auf der linken Seite a lá Explorer eine Reihe von Ordnern.
    Klick den Ordner "HKEY_CURRENT_USER" an, er klappt auf, klicke dann auf "SOFTWARE" dann auf "Microsoft" dann auf "Windows" dann auf "CurrentVersion" und dann auf "Run".
    In der Rechten Seite siehst du einige Einträge. Das sind genau die Programme, die beim Systemstart geladen werden. Wenn du hier einen Eintrag findest der mit den beendeten Taks übereinstimmt, lösche Ihn (markieren, und ENTF drücken).

    Wenn du damit fertig bist, schaue mal noch in den Ordner "HKEY_CURRENT_MACHINE", dann analog zum obigen Ordner die unterordner öffnen bis zu "Run". Schaue auch hier nach verdächtigen Einträgen und lösche Sie ggf.

    Damit wäre dein System gesäubert. Besorge dir unbedingt einen manierlichen Virenscanner. AntiVir und wie sie alle heißen funktionieren zwar ganz gut, aber mit kniffligen Fällen kommt man mit der Freeware nicht weiter.

    Meine Empfehlung: Norton AntVirus oder PC-Cillin
    Investiere das Geld, du wirst es nicht bereuen. Und schau dir hin und wieder die Seiten des BSI an. Dort gibt es auch immer nützliche Hinweise!

    Gruß,
    JTD

    Hi Rasheed,

    du schreibst, daß du Computerlaie bist, dann Finger weg von der Registry, wenn du da einen Fehler machst, dann wars das für dein Betriebssystem. Such lieber bei Chip-Online nach geeigneten Removal-Tools.

    Gruß

    JTD
    sorry, aber deine tips an anfänger sind aufforderungen zum pc-selbstmord!

    Michi

    1.mal, welches system hast du? win2k oder win xp? rein informativ für mich ;)

    2. wenn du das runterfahren mit shutdown -a beendest, ist schon mal ok weil du weiterarbeiten kannst, versuche aber nicht unnötig auf dem netz zu bleiben, weil du den wurm dann weiterverbreitest...

    3. jetzt fangen die tips an: du sagst, die rechnerleistung geht in die knie -> öffne den taskmanager (je nach system, aber mit ctrl +alt + del findest du ihn sicher), geh auf die liste der prozesse und sortiere sie nach "cpu-nutzung %" -> so siehst du mal, welcher prozess es über haupt ist. dann kannst du versuchen den prozess abzuschiessen (prozess beenden). evtl ist so mal kurz ruhe, bzw du kannst nach einem neustart den prozess immer abschiessen, bevor du aufs netz gehst...

    4. evtl hast du dir ja den korgo eingefangen:
    http://www.heise.de/newsticker/meldung/47927

    5. probier mal die removaltools aus, die im oberen link drin sind. sonst lade dir noch stinge runter:
    http://vil.nai.com/vil/stinger/

    6. KAUFE AUF KEINEN FALL NORTON ANTIVIRUS ODER NORTON INTERNET SECURITY! im gegensatz zu jtd hab ich mit dem bei familie und kunden nur probleme... bei uns im geschäft machen wir gerade eine kleine sondergruppe, welche probleme mit norton sammelt, analysiert um endlich das marketing zu überzeugen, dieses produkt nicht mehr zu vertreiben!

    7. aktiviere bei winxp unbedingt die eingebaute firewall, bevor du wieder aufs netz gehst. bei win2k kannst du eine gratisfirewall von sygate oder kerio runterladen, aber auf keinen fall zonealarm, ist wie norton selber ein virus...

    8. wichtigster schritt: lade dir endlich alle updates von ms für dein system runter!

    gruss
    michel

    Also ich würde mich auch nicht trauen, einen Laien in die Registry zu schicken...


    Wenn dein Antivirusprogramm nichts findet, versuch doch mal einen online-Scanner.

    z.B. diesen hier:
    Panda-Antivir
    Der wurde von CHIP online als bester Onlinescanner getestet.


    Für die Zukunft würde ich dir einen anderen Browser als den Internet-Explorer empfehlen.
    z.B. Firebird oder Opera. Die funktionieren ohne das gefährliche Active-X, das sich im IE nicht problemlos abschalten lässt und ein feines Hintertürchen für Windows-Würmer ist.

    die gleichen probleme hatte ich auch.
    scanner hat auch nichts gefunden. und im taskmanager war auch nichts außergewöhnliches drin. habe die kiste nun neu installiert. nu ist erst mal ruhe.
    weiss aber bis heute nicht was das war. interessant finde ich das das auch bei meinem win98 anschlug. wo doch viele schlimme dinger eigenlich nur auf die neueren windoof abzielen.

    cu folka

    JTD hat schon Recht mit seiner Methode. Und sooo ein !baby! kann Rasheed ja auch nicht sein, wenn er "shutdown -a" anwenden kann. Einige Viren schiessen die Virenscanner ab, d.h. wenn der Virus aktiv ist, nützt der Scanner nichts mehr. Auch der ambitionierte Laie kann statt Neuinstallation erstmal sein Glück in der Registry versuchen, nach einer Sicherung aller Daten, und mit JTDs Anleitung. Ob er nun wegen Vermurksen der Registry oder dem Virus neu installieren muss, ist egal.

    Ich würde so vorgehen:

    • Updates für Virenscanner holen ( Virenmuster und Programmfixes )
    • Online scan z.B. bei ca
    • Versuchen den Prozess im Taskmanager zu identifizieren und abzuschiessen
    • per regedit.exe verdächtige Einträge suchen unter
      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
      Verdacht kann kontrolliert werden, indem man im Explorer das Exe sucht, und dann per rechte-Maus - Eigenschaften sich die Versionsbeschreibung ansieht
    • Eintrag aus der Liste löschen.
      Damit kann nichts kaputt gemacht werden, schlimmstenfalls startet irgendein Hilfsprogramm nicht mehr automatisch, z.B. der Lampenwärmer für den Scanner.

    Der "Virus" muss normalerweise abgeschossen werden, die meisten schreiben die Einträge unter "Run" beim normalen Shutdown wieder neu. Wenn der Taskmanager das nicht schafft, hilft das Kommando "tskill {prozessname} /a" ( unter Windows XP )

    Eine mögliche weitere Stelle ist der Schlüssel
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
    Im Wert "Userinit" steht normalerweise nur "C:\WINDOWS\system32\userinit.exe"
    Der Unterschlüssel Notify ist auch zum Starten von Viren geeignet.

    Wenn der Laie damit nicht zurechtkommt, ist normalerweise in der Bekanntschaft oder Firma jemand, der helfen kann. Zumindest mit Anleitung.

    Grüße,
    -Klaus
    !lam!

    Moin Gemeinde!

    Ich bin gerührt, so viel Unterstützung! :,( Neee, im Ernst, echt Klasse! :-] Danke!

    @ jtd: Danke für die Tipps, aber ich glaube die Sache ist mir als Laie echt etwas zu heiß!

    @ Michel: der Rechner (eigentlich der der Freundin) läuft auf XP. Was würdest Du von McAffee halten? Den habe ich drauf, Probleme mit Viren und Würmern bisher gleich Null. Dann gleich mal ne dumme Frage hinterher: wie aktiviere ich die XP-Firewall? Das mit den MS-Updates ist so ein Problem, weil auf dem Rechner ca. 1,5 Jahre nichts upgedatet wurde. Ich befürchte, um alles runterzuziehen, bräuchte man mit normaler ISDN-Verbindung ca. 2 Jahre. !hehe! Aber gut, muß ich einen meiner Bekannten mit DSL anbohren. Gibts eigentlich alle Updates im Paket runterzuladen?

    @ Don Blech: glaube mir, ich bin wirklich ein Laie, insofern laß ich von der registry die Finger. Rechner sind für mich eine Black-Box. Was mich daran interessiert, ist das, was hinten rauskommt, wie das geht, davon hab ich (leider) keinen Plan. Und das mit dem "shutdown -a" ist purer Zufall! !mgrins!

    @ alle anderen: thx! werds mal mit dem Korgo-Removal-Tool versuchen!

    Saluti

    Michi

    Hi,
    also zuerst, Finger wech von der Registry..
    folgendes solltest Du zuerst versuchen :

    Unter :

    Start / Einstellungen / Systemsteuerung

    - Verwaltung
    -- Dienste

    dort suchst Du dann folgende Dienste
    1. "Remoteprozeduraufruf (RPC)
    2. "RPC-Locator"

    -- Dienst markieren und mit der rechten Maustaste -> Eigenschaften auswählen
    -- dann den Reiter "Wiederherstellen" auswählen
    -- die ersten drei Punkte ("Wählen sie einen Dienst, der bei Ausfall...")
    erster Versuch, zweiter Versuch..
    auf "keinen Vorgang druchführen" (Drop down Liste) einstellen.

    Damit müsste erstmal das Reboot-Problem gelöst werden..

    Danach empfehle ich Dir ein Virenprogramm (McAffee ist oki (
    und eine Firewall z.b. "ZoneAlarm", etc.

    Gruss Amore

    nichts muss, aber alles kann

    Zitat von Rasheed


    @ Michel: der Rechner (eigentlich der der Freundin) läuft auf XP. Was würdest Du von McAffee halten?

    der ist ok :)

    Zitat

    Dann gleich mal ne dumme Frage hinterher: wie aktiviere ich die XP-Firewall?

    keine dumme frage, weil wirklich ein bisschen versteckt... also:
    1. gehe auf die systemsteuerung
    2. suche hier das icon "netzwerkverbindungen" (falls du nur ca 8 auswahlmöglichkeiten hast, klicke oben links auf "zur klassischen ansicht wechseln")
    3. in den netzwerkverbindungen findest du alle lan und dfü-verbindungen
    4. klicke einmal auf die verbindungen mit der rechten maustaste und wähle zuunterst "eigenschaften".
    5. gehe auf die registerkarte erweitert und aktiviere "verbindungsfirewall aktivieren" oder so ähnlich... dann ist dein xp mal grob gegen würmer geschützt.

    Zitat

    Das mit den MS-Updates ist so ein Problem, weil auf dem Rechner ca. 1,5 Jahre nichts upgedatet wurde. Ich befürchte, um alles runterzuziehen, bräuchte man mit normaler ISDN-Verbindung ca. 2 Jahre. !hehe! Aber gut, muß ich einen meiner Bekannten mit DSL anbohren.

    tja, da musst du durch ;D

    Zitat

    Gibts eigentlich alle Updates im Paket runterzuladen?

    ja eigentlich schon, allerdings gibt es vereinzelt updates du nicht zusammen mit anderen runtergeladen werden können.
    man kann aber auch gezielt nur die updates runterladen, die sicherheitslücken stopfen, hier die seite von ms zum sasser und entsprechendem patch:
    http://www.microsoft.com/germany/ms/security/sasser.mspx

    das gleiche für die alte blasterlücke (direkter patchlink):
    http://download.microsoft.com/download/9/6/9…980-x86-DEU.exe

    am besten gehst du aber mal auf die update-seite und schaust, was dort alles zur auswahl steht ;) (im ie auf extras, dann auf windwos update)

    gruss
    michel

    huhu, da ich in diesen dingen genauso schlau bin wie rasheed, mal für die fachleute eine wahrscheinlich sehr dumme frage, aber trotzdem traue ich mich hier:

    wenn ich über einen router mit dsl surfe habe ich dann automatisch sicherheit? weil unser router hat so eine fierewall, steht zumindest auf dem karton drauf. denn bei meinem win98se gibst noch keine option diebezüglich und zusätzlich gehe ich nur mit opera ins netz.

    grazie. l.otti
    [der auch gerne bei fragen aus seinem fachgebiet weiterhilft)

    produkte der fiatautomobile ag sind ein traum! darum findet ihr mich in zukunft hier: http://www.faltboot.de ab jetzt fahre ich ein handgearbeitetes deutsches sportcabrio allererster güte:

    > E65-3 des VEB Taucha-POUCH mit mittelmotor (ich) <

    Hallo,

    jetzt muss ich als "Nichtfachmann" auch mal dumm fragen:

    Ich habe als Betriebssystem Windows XP.

    Als Viren-/Dialer-Programm: Ad-Aware 6.0.

    Neuerdings meldet Ad-Aware bei Scanning:

    Possible Browser Hijack attemt
    Typ: Reg. Daten
    Kategorie: Data Miner
    Objekt: HKEY_Current_User
    Möglicher Browser Hijack Versuch

    Diese Meldung ist bei jedem neuen Scanning Ad-Aware dabei ...

    Was macht man in so einem Fall ? !gruebel!

    Grüße
    black147GTA

    @ Black147GTA:

    Ad-Aware ist kein Anti-Dialer ebenso keine Anti-Viren und Firewall, sondern ein einfaches Progi welches Sypware erkennt, und löscht.
    Du solltest dringends Dir eine FW besorgen !!

    @ i.otti :

    Also, wenns auf der Packung steht, dann sollte auch eine drinn sein.
    Wie Sie konfiguriert wird, steht in Deinem Handbuch.
    In den meisten Fällen, musst Du via IE eine HTTP Adresse eingeben( i.d.R. http://192.68.1.0), dann kannst Du weitere Dinge konfigurieren


    @ll :


    - MS-Update zu Blaster..
    -> macht nix anderes, als einige Dienste von "System neu starten" auf " keine Aktion" umstellen.. kann mann aber auch selber ändern (siehe meinen vorherigen Post)

    - XP-Firewall => leider Müll !! kann den Blaster und andere Viren/Trojaner, nur
    unzureichend aufhalten, und trotz XP-FW ist der PC dennoch offen wie ein
    Scheunentor.
    Weiterer Nachteil, Online-Games sind mit XP-FW fast unmöglich, da die Ports nicht einzeln konfigurierbar sind !
    -> besser : im I-net gibt es einige gute Freeware-Produkte, die bei weitem
    besser sind als das Ding von XP, mein Favorit "ZoneAlarm" von http://www.zonelabs.com
    evtl. wird die FW in XP mit dem SP2 verbessert (ca. Herbst 04)..

    Ad-Aware ist kein "Anti-Dialer" Programm !! sondern nur ein Progi, welches sog.Spyware "Software die Dich und Dein Surfverhalten auspionieren" erkennt und entfernt..

    Also, um einen sicheren PC zu haben, sollte jeder folgendes installiert haben

    1. Anti-Viren Programm (Freeware tuts auch, Bsp. McAfee)
    2. Firewall (Freeware Bsp. Zone-Alarm, XP ist Müll)
    3. YAW od. 0190/0900-Warner => Freeware Schutz vor Dialer
    4. AD-Aware => schutz vor Spyware..

    Anmerkung : bei DSL-Routern, bei dem jeweiligen Anbieter nachfragen, ob der Router eine Firewall unterstützt.
    Wenn Nein, haben DSL-User folgende Möglichkeiten:

    1. Software Firewall (siehe Punkt 2.)
    oder
    2. Hardware Firewall, in Form eines ADSL-Router ab ca. 50,00 EUR (Bsp. NetGear)
    weiterer Vorteil, Ihr könnt mit bis zu 4 Geräten (PC, Notebook, etc.) gemeinsam DSL nutzen !!

    folgende Links sind hilfreich :

    http://www.Dialerschutz.de
    http://www.Computerbetrug.de
    http://www.winboard.org

    Viel Erfolg !

    Amore


    p.s. bin selbst seit einigen Jahren (jahrzenten) für die IT-Sicherheit tätig.

    nichts muss, aber alles kann

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!

Benutzerkonto erstellen Anmelden