</font><blockquote>Zitat:</font><hr />Original erstellt von mmk:
[QB]

Zitat:

Original erstellt von jenny77:
ok ich konnt die exe datei jetzt löschen.</font>

OK, gut so. Jetzt müssen noch die verbliebenen Registry-Einträge entfernt werden. Das geht mit HijackThis über das gezielte Setzen von Häkchen und "Fix checked". Zu löschen also:

O4 - HKLM\..\Run: [Wupdate driver] WUPDATE.EXE
O4 - HKCU\..\RunOnce: [Wupdate driver] WUPDATE.EXE

Sowie auch (ist alles Adware):

O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe&lt;

das gmt und cmeii zeugs wirklich? das ist in nem extra ordner gleichen namens mit ganz viel zeugs drin, aber als änderungsdatum märz 2002, da hatte ich den pc noch gar nicht.

die x.exe datei die ich gestern schon gelöscht hat, hat doch dann bestimmt auch noch solche registry einträge, oder doch nicht?

die und die wupdate hatten das gleiche änderungsdatum und uhrzeit. ich war am 24. erst nach 21uhr on, hatte winmx oder sonstiges nicht an, hab eben nur auf der einen seite die beiden wav clips runtergeladen. dann kanns doch nur daher kommen oder? über die pop-ups geht ja nicht.

irc hab ich schon ewig nimmer geöffnet.


&gt;Was ich denke, ist nicht so wichtig. Vielmehr weiß ich, dass ich von hier aus nicht sicher sagen, inwieweit Veränderungen durch den Backdoor während seiner Aktivität vorgenommen wurden. Auszuschließen ist es jedenfalls nicht.&lt;


und was bedeutet das? wie seh ich ob veränderungen vorgenommen wurden? das geht doch nur in der zeit wenn ich on bin, oder ist das egal?
kann jetzt im nachhinein noch was passieren? ich hab mal wo was gelesen, dass da auch alle tasten die benutzt wurden abgerufen werden können. war das bei dem wurm jetzt der fall, oder gabs da "nur"-- nen zugriff auf meinen pc?
-------------

edit:

das ganze windows neu drauf? ne, oder? (((

&gt;Once active, this malware attempts to connect to an IRC server, where it joins a channel. While in IRC, it is able to receive commands from remote users, who are consequently able to perform the following:

* Remotely activate a Web server on the compromised system
* Retrieve system information, such as CPU, memory, disk and operating system details
* Browse files on the compromised system
* Execute a file remotely
* Use the compromised system to flood other hosts
* Open/Close the CD-ROM drive
* Activate a key logger remotely
* Terminate processes running on the compromised system&lt;


aber wenns doch nicht mehr aufm pc ist, geht das doch nicht mehr, oder?

und dann ging doch vorher nur wenn ich on war oder immer?

</font><blockquote>Zitat:</font><hr />Original erstellt von jenny77:
das gmt und cmeii zeugs wirklich? das ist in nem extra ordner gleichen namens mit ganz viel zeugs drin, aber als änderungsdatum märz 2002, da hatte ich den pc noch gar nicht.</font>[/QUOTE]Ja, das ist Adware. Spybot Search and Destroy (hat nichts mit dem Wurm Spybot zu tun!) sollte diese Adware erkennen und entfernen:

http://security.kolla.de

</font><blockquote>Zitat:</font><hr />die x.exe datei die ich gestern schon gelöscht hat, hat doch dann bestimmt auch noch solche registry einträge, oder doch nicht?</font>[/QUOTE]Nein, sie kann z.B. als Dropper fungiert haben.

</font><blockquote>Zitat:</font><hr />...hatte winmx oder sonstiges nicht an, hab eben nur auf der einen seite die beiden wav clips runtergeladen. dann kanns doch nur daher kommen oder? über die pop-ups geht ja nicht.</font>[/QUOTE]Es muss eine ausführbare Datei gewesen sein. Und diese stammt aus unseriöser Quelle. Dateitauschbörsen wären dafür typisch. Weißt du die Seite noch, wo es die wav-Dateien gab?

</font><blockquote>Zitat:</font><hr />irc hab ich schon ewig nimmer geöffnet.</font>[/QUOTE]Das hat mit diesem Wurm / Backdoor nichts zu tun. Er ist darauf nicht angewiesen.

</font><blockquote>Zitat:</font><hr />und was bedeutet das? wie seh ich ob veränderungen vorgenommen wurden?</font>[/QUOTE]Zweifelsfrei wirst du es nicht feststellen können.

</font><blockquote>Zitat:</font><hr />das geht doch nur in der zeit wenn ich on bin</font>[/QUOTE]Ja.

</font><blockquote>Zitat:</font><hr />kann jetzt im nachhinein noch was passieren?</font>[/QUOTE]Das hängt davon ab, inwieweit die Palette der Möglichkeiten, die über Spybot zur Verfügung stehen, ausgenutzt wurden (Passwortklau, Versand vom Spam über deinen PC, etc.)

</font><blockquote>Zitat:</font><hr />ich hab mal wo was gelesen, dass da auch alle tasten die benutzt wurden abgerufen werden können. war das bei dem wurm jetzt der fall, oder gabs da "nur"-- nen zugriff auf meinen pc?</font>[/QUOTE]Richtig. Du meinst einen Keylogger. Dieser ist in der Tat _ein_ Feature dieses Backdoors.

aber wenn ich jetzt off war und bin, hat dann immer noch jemand zugriff auf den pc??


wenn man windows neu installiert, ist doch alles vorher gespeicherte weg, oder?

hier http://www.trendmicro.com/vinfo/viru...ORM_SPYBOT.GEN auf der seite steht doch


NOTE: If you were not able to terminate the malware process from memory as described in the previous procedure, restart your system.&lt;


aber das memory zeugs war doch das mit dem registry oder nicht?

</font><blockquote>Zitat:</font><hr />kann jetzt im nachhinein noch was passieren?</font>[/QUOTE]Das hängt davon ab, inwieweit die Palette der Möglichkeiten, die über Spybot zur Verfügung stehen, ausgenutzt wurden (Passwortklau, Versand vom Spam über deinen PC, etc.)[/QUOTE]

* Remotely activate a Web server on the compromised system
* Retrieve system information, such as CPU, memory, disk and operating system details
* Browse files on the compromised system
* Execute a file remotely
* Use the compromised system to flood other hosts
* Open/Close the CD-ROM drive
* Activate a key logger remotely
* Terminate processes running on the compromised system&lt;

aber das ist doch jetzt gestoppt, dadurch dass ichs gelöscht hab, oder? sag ja-____-

jetzt hat doch keiner merh zugriff auf den pc`????

</font><blockquote>Zitat:</font><hr />das ganze windows neu drauf? ne, oder? (((</font>[/QUOTE]Das würde es in letzter Konsequenz bedeuten, ja.

</font><blockquote>Zitat:</font><hr />aber wenns doch nicht mehr aufm pc ist, geht das doch nicht mehr, oder?</font>[/QUOTE]Der Knackpunkt ist, dass man NICHT mit letzer Sicherheit sagen kann, dass durch die Entfernung der verursachenden Datei nun weitere Auswirkungen auszuschließen sind.

</font><blockquote>Zitat:</font><hr />und dann ging doch vorher nur wenn ich on war oder immer?</font>[/QUOTE]Ein Keylogger kann alles, was du offline schreibst speichern und dann, wenn du wieder online gehst, diese gespeicherten Daten demjenigen, der Zugriff auf dein System hat, zur Verfügung stellen.

wenn man windows neu installiert, ist das alles was ich jetz drauf hab, weg?


&gt;Ein Keylogger kann alles, was du offline schreibst speichern und dann, wenn du wieder online gehst, diese gespeicherten Daten demjenigen, der Zugriff auf dein System hat, zur Verfügung stellen.&lt;


und das geht jetzt immer noch?????

&gt; wenn man windows neu installiert, ist das
&gt; alles was ich jetz drauf hab, weg?

Ja, aber wenn du dich nicht richtig schuetzt, hast du den gleichen Muell recht schnell wieder auf dem Rechner.


&gt; und das geht jetzt immer noch?????

Wenn du die gleichen Passwörter benutzt wie vorher, klar. Wenn du z.B. eBay gemacht hast und dein Username/Passwort wurde mitprotokolliert kann man das ja von jedem PC aus nutzen.

Deshalb solltest du so schnell wie möglich alle verwendeten Passwörter abändern - wenn sicher ist das dein PC jetzt sauber ist.

Um es zusammen zu fassen:

1. Der Wurm dürfte weg sein, jedoch kann das von hier aus nicht 100%ig garantiert werden.

2. Der Wurm könnte deine Daten versendet haben, jedoch ist das nicht 100%ig sicher.

3. Ein User könnte deinen PCs in der Zeit auch andersweitig verändert haben, das ist aber nicht 100%ig sicher.

Fazit:

Die Symptome sind behoben, aber es bleibt eine gewisse Unsicherheit. Wie du diese Unsicherheit abstellen kannst, wurde hier gesagt (System neu aufsetzen, Passwörter ändern etc.). Ob du sie nun abstellst, musst du ganz alleine entscheiden.

Sorry, aber jeder muss selber wissen, ob er für ein "vielleicht ist ja nun wieder alles gut" seine Existenz aufs Spiel setzen möchte. Sicherlich stehen deine Chancen dass doch noch alles gut ausgeht nicht schlecht, aber willst du dich darauf verlassen?

Diese Entscheidung kann dir hier niemand abnehmen, auch wenn du das gerne möchtest. [img]smile.gif[/img]

Andreas

[QUOTE]Original erstellt von SkeeveDCD:
[qb] &gt; wenn man windows neu installiert, ist das
&gt; alles was ich jetz drauf hab, weg?

Ja, aber wenn du dich nicht richtig schuetzt, hast du den gleichen Muell recht schnell wieder auf dem Rechner.&lt;

dann kann ich windows nicht neu installieren.


&gt;&gt; und das geht jetzt immer noch?????&lt;

Wenn du die gleichen Passwörter benutzt wie vorher, klar. Wenn du z.B. eBay gemacht hast und dein Username/Passwort wurde mitprotokolliert kann man das ja von jedem PC aus nutzen. &lt;

Deshalb solltest du so schnell wie möglich alle verwendeten Passwörter abändern - wenn sicher ist das dein PC jetzt sauber ist.

isses jetzt nicht sicher, oder wie? -.-


es kann doch aber auch sein, dass noch nix passiert ist, oder? ab wann kann man da sicher sein.