|
Plagegeister aller Art und deren Bekämpfung: Hiiiilfeee XDWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
25.06.2004, 14:56 | #1 |
| Hiiiilfeee XD mich hats schon wieder erwischt, ich war EINMAL seit meiner letzten wurmattake ohne zonealarm im netz und bumm schon hab ich ir natürlich wieder was eingefangen. ist sehr verwirrend ich werd zz auch nicht so ganz daraus schlau. am mittwoch abend war ich ohne zonealarm im netz. am selbe abend hab ich auf dem dektop eine merkwürdige datei mit dem tilden zeichen (~) draufgehabt. am morgen hab ich im C ordner eine 64kb grosse datei gefunden, welche Xi hiess. beides hab ich gelöscht. am mittag wollte ich ins netz gehen, da springt zonealarm an und sagt mir, dass die datei winupdate.exe auf das internet zugreifen will.(ähm zur info, mein pc hängt in nem netzwerk, ich selber habe kein antiviren proggy drauf) hab dann übers netzwerk mit panda antivire meinen pc durchsucht. panda fand den W32/protoride.c.wor leider bringt desinfizieren, löschen, quarantäne usw nichts. die datei befindet sich im startmenü und hat sich auch im autostart eingetragen. in der taskleiste selber sieht man nichts.(mit aida kann man aber sehen, dass ich das programm ungefähr 10 ausgeführt hat) http://www.pandasoftware.com/virus_i...&idvirus=45829 Protoride.C creates the following files: RDPTY.EXE in the Windows system directory. This file is a copy of the worm. WINOCX32.EXE in the Startup directory. By copying itself to this directory, Protoride.C ensures it is run whenever Windows is started. Protoride.C is programmed to create the following entry in the Windows Registry: HKEY_LOCAL_MACHINE\ Software\ BeyonD inDustries\ ProtoType[v2]" beide dateien sind bei mir nicht vorhanen, genauso wie der registry eintrag. Protoride.C modifies the following entry in the Windows Registry: HKEY_CLASSES_ROOT\ exefile\ shell\ open\ command (Default) = “%1” %* It changes this entry to: HKEY_CLASSES_ROOT\ exefile\ shell\ open\ command (Default) = %sysdir%\ rdpty.exe "%1" %* where %sysdir% is the Windows system directory. By default, C:\ WINDOWS\ SYSTEM on Windows Me/98/95 computers, and C:\ WINNT\ SYSTEM32 on Windows 2003/XP/2000/NT computers. By modifying this entry, Protoride.C activates whenever a file with an EXE extension is run. These files will be prevented from running. dieser eintrag ist allerdings vorhanden. hab ihn gelöscht, weshalb exe datein nicht mehr ausführbar waren. pc neugestartet, und alles beim alten. eintrag war auch wieder da. weil mich das etwas gewundert hat, dass diese exe datein nicht da sind, sondern nur die datei winupdate.exe(soweit ich bisher weiss) hab ich im netz mal unter winupdate.exe gesucht, und das hier gefunden: http://www.liutilities.com/products/...ary/winupdate/ was denn nun? hab ich nen wurm oder nen virus? und warum sagt panda dann, dass es der protoride ist? btw löschen, umbenennen oder verschieben der datei winupdate.exe geht auch im abgesicherten nicht... helft mir bitte ;_; ich brauch den pc zum arbeiten ! und ich hab der terror mit Neuaufsetzen erst durchXD |
25.06.2004, 15:17 | #2 |
Moderator, a.D. | Hiiiilfeee XD Hi Chaosfee,
__________________willkommen an Board. [img]smile.gif[/img] Scan die Datei "winupdate.exe" mal unter http://www.kaspersky.com/de/scanforvirus und poste das Ergebnis. Dann sehen wir weiter. Gruß [img]graemlins/daumenhoch.gif[/img] Yopie |
26.06.2004, 03:26 | #3 |
| Hiiiilfeee XD Hallo!
__________________</font><blockquote>Zitat:</font><hr />Original erstellt von Chaosfee: panda fand den W32/protoride.c.wor leider bringt desinfizieren, löschen, quarantäne usw nichts. die datei befindet sich im startmenü und hat sich auch im autostart eingetragen.</font>[/QUOTE]Das liegt daran, weil dein System... a) nicht auf dem neuesten Stand ist (dringend updaten -> http://windowsupdate.com ), b) es nicht ausreichend konfiguriert ist ( http://ntsvcfg.de ) Verbreitungsweg: Netzwerk-Sicherheitslücken: http://www.sophos.de/virusinfo/analy...rotoridec.html |
26.06.2004, 10:49 | #4 |
| Hiiiilfeee XD ersteinmal zu mmk: Mein windows(98se übrigens) wurde erst vor kurzem mit allen updates aktualisiert! und was meinst du mit nich ausreichend konfiguriert? @yopie daaaaaanke -g- warum? ich hab die datei von dem pc hier übers netzwerk auf das kaspersky ding gebracht, plötzlich kam panda hoch und meinte, dass er den protoride wurm auf meinem pc gefunden hat und das die datei unschädliche gemacht worden ist. derweil war kaspersky fertig mit laden, ich hatte aber keine ergebnisse auf dem schirm, also wollt ich die datei nochmal laden, sie war aber nicht mehr da ! ich bin zu meinem pc und hab mich dort angemeldet(als ich darauf zugegriffen hatte, war ich nicht mit passwort angemeldet sondern mein pc war nur so an) und tatsächlich, die datei war weg ^^ ich wollte freudenstrahlend aida öffnen nur um sicher zu sein, da sagt mir mein pc das winupdate zum öffnen von dieser anwendung benötigt wird -.- genau dasselbe problem hatte ich damals mit diesem msupdate.exe wurm. mein vater hatte die datei damals im dos modus gelöscht und darum musste ich meinen pc formatieren-.- plötzlich kam mir DIE eingebung überhaupt(lol) ich starte den dosmodus und geb die magische formel scanreg /restore ein ^^sicherung von vorgestern geladen. windows startete, keine fehlermeldung das die datei fehle... aida startete, unter laufenden systemprozesse war winupdate.exe nicht mehr vorhanden. dann öffne ich den registryeditor shcau unter exefile/shell/open/command nach, tatsache, der pfad is weg -g- panda scannt zwar noch, aber ich bin guter dinge dass er nichts mehr findet -g- trotzdem danke an euch zwei ^^ ich glaub ich werd hier auch noch etwas bleiben, das pc forum, in dem ich bis jetzt immer war, is mir zu sehr zum beklopptenheim mutiert o-o so long die chaosfee ^^ |
26.06.2004, 11:17 | #5 |
Moderator, a.D. | Hiiiilfeee XD Schön, dass das Wurm-Problem erstmal behoben ist. Mit "nicht ausreichend konfiguriert" meint Markus, das Deine Netzwerkeinstellungen unsicher sind. Der Link, den er angegeben hat, bezieht sich allerdings nur auf NT-basierende-Systeme, nicht auf Win98. Wenn Du nicht in einem Netzwerk hängen würdest würde ich Dir einen Blick auf http://www.trojaner-info.de/sicherhe...rts137-139.htm empfehlen. Im Netzwerk musst Du wahrscheinlich etwas anders vorgehen, da kann ich Dir leider nichts zu sagen. Vielleicht hilft Dir http://www.trojaner-info.de/report_port139.shtml dabei? Auf eine Personal Firewall als Schutz solltest Du verzichten. Denn es ist allemal besser, das Betriebssystem mit den eigenen Mitteln gegen Zugriffe von außen zu schützen, als sich Software zu installieren, die entweder weitere Sicherheitslücken hat, im Zweifel deaktiviert oder auch falsch konfiguriert wird. </font><blockquote>Zitat:</font><hr />ich glaub ich werd hier auch noch etwas bleiben, das pc forum, in dem ich bis jetzt immer war, is mir zu sehr zum beklopptenheim mutiert</font>[/QUOTE]Das hört sich gut an. [img]smile.gif[/img] Hier gehts im Großen und Ganzen recht gesittet zu, was nicht heißen soll, das hier nicht auch ab und zu leidenschaftlich gestritten wird. Geholfen wurde hier aber bisher eigentlich jedem. Gruß [img]graemlins/daumenhoch.gif[/img] Yopie |
Themen zu Hiiiilfeee XD |
autostart, datei, dateien, desinfizieren, error, erwischt, exe datei, exe datein, hängt, internet, löschen, netzwerk, nicht, nicht mehr, ordner, pc hängt, programm, quara, quarantäne, registry, shell, system, system32, taskleiste, this, unter, update.exe, verschieben, virus?, warum, windows, windows system, winupdate.exe, zonealarm |