|
Plagegeister aller Art und deren Bekämpfung: tftp.exeWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
12.09.2003, 22:58 | #1 |
Gast | tftp.exe Hi @all! Vor ca. 2 Min. teilte mir Zone Alarm mit, dass der TFTP-Dienst aufs Internet zugreifen wollte. Nachdem ich ihn geblockt hatte, erschien die für den Blaster-Wurm typische Meldung vom RPC-Dienst (Das System wird...) Hab sofort das Removal-Tool von Symantec laufen lassen (das jedoch nichts verdächtiges gefunden hat) & den PC neu gestartet. Kann es sein, dass ich jetzt noch vom Wurm infiziert bin? (Es kam bis jetzt noch keine RPC Meldung & die Autostart-Einträge auch OK.) |
13.09.2003, 04:13 | #2 |
| tftp.exe hi schorty,
__________________</font><blockquote>Zitat:</font><hr />Original by Trend Micro: The worm utilizes a certain TFTP.EXE to download its copy on a target machine. During this download routine, a temp file named TFTP* is created. It eventually takes the name of the worm file when the download routine is completed. However, this renaming does not happen when the download process is interrupted or not completed. Thus, TFTP* files may be found in some infected systems as a result of this failed routine. </font>[/QUOTE]grüße nico
__________________ |
13.09.2003, 12:27 | #3 |
Gast | tftp.exe Vielen Dank für deine Antwort, nico4u!
__________________Habe bei der Windows-Suche folgende TFTP-Datei gefunden: TFTP3128 - Erstellt am 12.09.03 um 23:19 Kann ich diese Datei löschen? PS: Konnte den einglischen Text leider nicht vollständig übersetzen, da ich manche Begriffe (noch) nicht kenne. Textübersetzung von Google: </font><blockquote>Zitat:</font><hr />Die Endlosschraube verwendet ein bestimmtes TFTP.EXE, um seine Kopie auf einer Zielmaschine zu downloaden. Während dieses Downloadprogramms wird eine Temperaturakte, die TFTP genannt wird * hergestellt. Sie nimmt schließlich den Namen der Endlosschraubenakte, wenn das Downloadprogramm durchgeführt wird. Jedoch geschieht umbenennendes dieses nicht, wenn der Downloadprozeß unterbrochen wird oder nicht durchgeführt. So TFTP * Akten können in einigen angesteckten Systemen resultierend aus diesem gefunden werden verlassenes Programm.</font>[/QUOTE][img]graemlins/lach.gif[/img] |
13.09.2003, 12:39 | #4 |
| tftp.exe ich hatte auch dieses Meldung, dass das system runtergefahren werden muss (irgendwas mit remote...). hab ebenafalls mit dem blast removal tool den rechner checken lassen, es wurde aber nichts gefunden... ist das jetzt ein virus oder nicht? bein anti viren progr. hat nichts gefunden. und aus dem was nico4u gepostet hat werde ich nicht so ganz schlau. hilfe! |
13.09.2003, 13:15 | #5 |
| tftp.exe Endlosschraubenakte *rofl* Eine möglichst wörtliche, aber hoffentlich trotzdem verständliche Übersetzung: "Der Wurm benutzt eine gewisse tftp.exe, um sich auf einen Zielrechner herunterzuladen. Während des Downloads wird eine temporäre Datei namens tftp* erzeugt. Wenn der Download beendet wird, nimmt diese Datei schließlich den Namen des Wurms an. Diese Umbenennung findet allerdings nicht statt, wenn der Download unterbrochen oder nicht beendet wird. Auf manchen infizierten Systemen lassen sich daher tftp*-Dateien als Resultat eines fehlgeschlagenen Downloads auffinden." Erwähnenswert hierbei vielleicht noch: http://www.heise.de/newsticker/data/pab-10.09.03-000/ http://www.heise.de/newsticker/data/dab-11.09.03-002/ Cobra |
13.09.2003, 15:29 | #6 |
| tftp.exe hi @ all, nach der trend micro beschreibung ist die tftp.exe ein unvollständiges (und somit halbwegs ungefährliches) blaster produkt, welches gelöscht werden kann und sollte. daß manche scanner das als wurm erkennen, liegt an der qualität der scanner. wer nur strings sucht, der wird nichts finden. also löschen, den rechner nochmals scannen und gut ist. dann dürfte es auch kein shutdown problem mehr geben. eventuell noch die systemwiederherstellung bereinigen. danach wäre es ratsam (siehe cobras posting) den neuen rpcss patch einzuspielen, um zukünftig nicht noch von ganz neuen varianten befallen zu werden. grüße nico [img]graemlins/teufel3.gif[/img]
__________________ --> tftp.exe |
13.09.2003, 18:01 | #7 |
Gast | tftp.exe Danke Cobra! [img]smile.gif[/img] (und natürlich auch Nico) Schorty |
14.09.2003, 12:34 | #8 |
| tftp.exe aha, okay. danke für die erklärung. ich hab nach dieser tftp.exe gesucht. als ergebnis kam aber nur ne datei mit dem erstellungsdatum 2001. ich hatte auch gleich alles bagebrochen. vielleicht hat sich deswegen nichts downloaden können. ich kenne mich da nicht so gut aus. hab mir auch mal die links angeschaut, die cobra gepostet hat. ich finde mich da nicht so ganz durch. |
14.09.2003, 14:48 | #9 |
| tftp.exe hallo jetzt habe ich eine Frage betreffend tftp.exe ich finde diese Datei dreimal unter: Ort:WINNT\$NtServicePackUninstall$ Ort:WINNT\ServicePackFiles\i386 Ort:WINNT\system32 unter Beschreibung steht: Trivial File Transfer Protocoll App Probleme mit runterfahren und so habe ich nie gehabt Soll ich diese drei Files löschen schönen Sonntag abend und Ciao |
14.09.2003, 15:04 | #10 |
| tftp.exe </font><blockquote>Zitat:</font><hr /> Soll ich diese drei Files löschen </font>[/QUOTE]Nein, die 'tftp.exe' ist eine reguläre Windows-Datei, und _kein_ Bestandteil des Wurms. Der Wurm benutzt dieses kleine Windows-Tool nur, um sich auf den zu infizierenden Rechner zu laden. Nur evtl. vorhandene 'tftp*'-Dateien, wie z.B. die 'TFTP3128' von Schorty, können/sollten gelöscht werden. [img]smile.gif[/img]
__________________ "<a href="http://return.to/scheinsicherheit" target="_blank">Scheinsicherheit</a>" - wie leicht lassen sich Viren- und Trojanerscanner austricksen? |
14.09.2003, 17:20 | #11 |
Gast | tftp.exe </font><blockquote>Zitat:</font><hr />Soll ich diese drei Files löschen</font>[/QUOTE]Bloß nicht! Es sind ja nicht nur die PC-Würmer, die den Service tftp nutzen, sondern bestimmt auch Programme, die anschließend nicht mehr funktionieren! Schorty [img]graemlins/teufel3.gif[/img] |
20.09.2003, 21:08 | #12 |
| tftp.exe </font><blockquote>Zitat:</font><hr />Original erstellt von Schorty: Vor ca. 2 Min. teilte mir Zone Alarm mit, dass der TFTP-Dienst aufs Internet zugreifen wollte. Nachdem ich ihn geblockt hatte, erschien die für den Blaster-Wurm typische Meldung vom RPC-Dienst (Das System wird...)</font>[/QUOTE]Da kannst du mal sehen, daß dein Zonenalarm zu nichts zu gebrauchen ist. Was zu beweisen war.
__________________ Tugenden, subst. fem. pl. - gewisse Enthaltsamkeiten [Ambrose Bierce, "Des Teufels Wörterbuch"] |
Themen zu tftp.exe |
alarm, confused, geblockt, gefunde, infiziert, inter, interne, internet, laufe, laufen, meldung, neu, nichts, rpc-dienst, sofort, symantec, system, träge, typische, verdächtiges, zone, zone alarm, zugreife, zugreifen |