|
Plagegeister aller Art und deren Bekämpfung: Trojan.Spy.PCGhost.413Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
28.07.2003, 18:55 | #1 |
| Trojan.Spy.PCGhost.413 Hi, es eilt, deswegen schau ich nicht erst, ob´s dazu schon ein Thread gibt. Kaspersky gibt mir folgendes: C:/winnt/system32/ipcNL.exe infiziert Win32 Xorala Name des virus: Trojan.Spy.PCGhost.413 diese ipcNL.exe befindet sich noch im System 32 ordner ---> kann ich die löschen???? Was habe ich sonst noch zu tun? Welche Einstellung ist ratsam bei Kaspersky? Infizierte Datein automatisch löschen? Gerate schon wieder in Panik, habe andauernd Trojaner drauf - bitte um Hilfe...
__________________ cu<br />seahorse |
28.07.2003, 19:17 | #2 |
| Trojan.Spy.PCGhost.413 Hier nochmal genauere Angaben:
__________________Scanner 28.07.2003 19:30:04 C:\WINNT\system32\debug.exe Gepackt: ExePack C:\WINNT\system32\dtcsetup.exe Archiv: CAB C:\WINNT\system32\edit.com Gepackt: ExePack C:\WINNT\system32\edlin.exe Gepackt: ExePack C:\WINNT\system32\exe2bin.exe Gepackt: ExePack C:\WINNT\system32\fastopen.exe Gepackt: ExePack C:\WINNT\system32\fastopen.exe Gepackt: Com2Exe C:\WINNT\system32\ipcNL.exe Gepackt: UPX C:\WINNT\system32\ipcNL.exe Archiv: RAR C:\WINNT\system32\ipcNL.exe/replace.bat Infiziert: Worm.Win32.Muma.b C:\WINNT\system32\ipcNL.exe/10.BAT Infiziert: Worm.Win32.Muma.b C:\WINNT\system32\ipcNL.exe/hack.bat Infiziert: Worm.Win32.Muma.b C:\WINNT\system32\ipcNL.exe/ipc.bat Infiziert: Worm.Win32.Muma C:\WINNT\system32\ipcNL.exe/MUMA.BAT Infiziert: Worm.Win32.Muma.b C:\WINNT\system32\ipcNL.exe/NEAR.BAT Infiziert: Worm.Win32.Muma.b C:\WINNT\system32\ipcNL.exe/RANDOM.BAT Infiziert: Worm.Win32.Muma C:\WINNT\system32\ipcNL.exe/SS.BAT Infiziert: Worm.Win32.Muma.b C:\WINNT\system32\ipcNL.exe/START.BAT Infiziert: Worm.Win32.Muma.b C:\WINNT\system32\ipcNL.exe/HFind.exe Gepackt: ASPack C:\WINNT\system32\ipcNL.exe/HFind.exe Gepackt: UPX C:\WINNT\system32\ipcNL.exe/HFind.exe Infiziert: HackTool.Win32.Hucline C:\WINNT\system32\ipcNL.exe/ntservice.exe Gepackt: ASPack C:\WINNT\system32\ipcNL.exe/ntservice.exe Gepackt: UPX C:\WINNT\system32\ipcNL.exe/NWIZE.EXE Gepackt: ASPack C:\WINNT\system32\ipcNL.exe/NWIZE.EXE Gepackt: ASPack C:\WINNT\system32\ipcNL.exe/NWIZE.EXE Infiziert: Trojan.Spy.PcGhost.413 C:\WINNT\system32\ipcNL.exe/psexec.exe Gepackt: UPX
__________________ |
28.07.2003, 19:40 | #3 |
| Trojan.Spy.PCGhost.413 Du hast dir eine Variante des Mailwurms MUMU gefangen. Da noch etliche weitere Dateien dazu gehören wird es mit dem Löschen der einen EXE nicht getan sein.
__________________ |
28.07.2003, 19:45 | #4 |
| Was rätst du mir also? Lass mich doch büdde nicht so im Regen stehen
__________________ cu<br />seahorse |
28.07.2003, 19:53 | #5 |
| Trojan.Spy.PCGhost.413 Edit: Sorry, hatte nur flüchtig gelesen. |
28.07.2003, 19:55 | #6 |
| Trojan.Spy.PCGhost.413 Wie meinst du das, Markus? Sorry, wenn ich immer wieder so dumm nachfrage, aber ich bin kein PC-Experte, geschweige denn, das ich mich mit Trojaner etc auskenne!? Mhm, wo is denn dein Beitrag hin?
__________________ --> Trojan.Spy.PCGhost.413 |
28.07.2003, 19:57 | #7 |
| Trojan.Spy.PCGhost.413 </font><blockquote>Zitat:</font><hr />Original erstellt von seahorse: Wie meinst du das, Markus? Mhm, wo is denn dein Beitrag hin? </font>[/QUOTE]Sorry, hatte zunächst nicht aufmerksam genug gelesen. Die Malwaredatei ist unter anderem natürlich zu löschen, zusätzlich aber auch zugehörige Registry-Einträge. |
28.07.2003, 20:00 | #8 |
| Trojan.Spy.PCGhost.413 Unter Malwaredatei ist also die ipcNl.exe gemeint, korrekt? Wie finde ich zugehörige Registry-Einträge? Bitte mal für Dummies erklären Danke
__________________ cu<br />seahorse |
28.07.2003, 20:03 | #9 |
| Trojan.Spy.PCGhost.413 </font><blockquote>Zitat:</font><hr />Original erstellt von seahorse: Unter Malwaredatei ist also die ipcNl.exe gemeint, korrekt?</font>[/QUOTE]Ja, genau. Weitere Infos zur Entfernung, unter anderem zu den Registry-Einträgen, siehe hier: http://www.f-secure.com/v-descs/muma.shtml [ 28. Juli 2003, 21:11: Beitrag editiert von: mmk ] |
28.07.2003, 20:04 | #10 |
| Trojan.Spy.PCGhost.413 Einfach erstmal alles löschen, was infiziert ist. Dabei reicht es offenbar, die 'ipcNL.exe' zu löschen, da es ein Archiv ist, in dem alle anderen Wurm-Komponenten enthalten sind. Danach auf jeden Fall nochmals mit KAV scannen. Weitere Infos (mit weiterführenden Links zum weiteren Vorgehen) hier: http://www.pctip.ch/helpdesk/virenti...chiv/24536.asp Außerdem solltest du deine Netzwerk-Shares absichern (dazu steht auch was im o.g. Link.) [img]smile.gif[/img]
__________________ "<a href="http://return.to/scheinsicherheit" target="_blank">Scheinsicherheit</a>" - wie leicht lassen sich Viren- und Trojanerscanner austricksen? |
28.07.2003, 21:19 | #11 |
| Trojan.Spy.PCGhost.413 So, habe die exe im abgesicherten Modus löschen können (Papierkorb ist auch leer) Eure Links sind leider zum größten Teil englisch ~ da verstehe ich nur Bahnhof. Ich hab´s jetzt so verstanden, das "mein" Wurm lediglich 2 Dateien hatte: zum einen die Exe und dann die NTSERVICE.BAT - Datei. Die kann (muss) ich auch löschen, richtig?
__________________ cu<br />seahorse |
29.07.2003, 03:31 | #12 |
| Trojan.Spy.PCGhost.413 </font><blockquote>Zitat:</font><hr />Original erstellt von seahorse: So, habe die exe im abgesicherten Modus löschen können</font>[/QUOTE]OK, nun mach einen Scan des kompletten Rechners mit Kaspersky. Vergiss nicht, zuvor die Signaturen auf den aktuellsten Stand zu bringen. Dann kannst du hier den Report posten, anhand dessen man dann sagen kann, was ggf. noch gelöscht werden muss. |
29.07.2003, 09:54 | #13 |
| Trojan.Spy.PCGhost.413 Kaspersky hat 2 beschädigte Dateien gefunden ( nur nicht gesagt, wo!). Hier die einzige Stelle, die mir im Scan komisch vorkommt: C:\WINNT\system32\config\default Lesezugriff verweigert. C:\WINNT\system32\config\default.LOG Lesezugriff verweigert. C:\WINNT\system32\config\default.sav Ok. C:\WINNT\system32\config\SAM Lesezugriff verweigert. C:\WINNT\system32\config\SAM.LOG Lesezugriff verweigert. C:\WINNT\system32\config\SecEvent.Evt Ok. C:\WINNT\system32\config\SECURITY Lesezugriff verweigert. C:\WINNT\system32\config\SECURITY.LOG Lesezugriff verweigert. C:\WINNT\system32\config\software Lesezugriff verweigert. C:\WINNT\system32\config\software.LOG Lesezugriff verweigert. C:\WINNT\system32\config\software.sav Ok. C:\WINNT\system32\config\SysEvent.Evt Ok. C:\WINNT\system32\config\system Lesezugriff verweigert. C:\WINNT\system32\config\SYSTEM.ALT Lesezugriff verweigert. Und diese Batch Datei hab ich noch nicht gelöscht, weil von euch niemand was dazu gesagt hat. Hatte in letzter Zeit so viele PC Probs, das ich nix mehr lösche ohne nachzufragen
__________________ cu<br />seahorse |
29.07.2003, 11:23 | #14 |
| Trojan.Spy.PCGhost.413 </font><blockquote>Zitat:</font><hr />Original erstellt von seahorse: Und diese Batch Datei hab ich noch nicht gelöscht, weil von euch niemand was dazu gesagt hat. Hatte in letzter Zeit so viele PC Probs, das ich nix mehr lösche ohne nachzufragen </font>[/QUOTE]Du kannst die Datei löschen. Solltest Du sogar. Wenn Du Dich nicht gleich traust, benenne diese doch zunächst um (z. B. Extension .txt). Wenn das System dann stabil läuft, kannst Du sie immer noch löschen. Welches Betriebssystem läuft überhaupt? Vermutlich Win NT oder 2000... </font><blockquote>Zitat:</font><hr /> Kaspersky hat 2 beschädigte Dateien gefunden ( nur nicht gesagt, wo!). Hier die einzige Stelle, die mir im Scan komisch vorkommt: </font>[/QUOTE]Diese Stelle ist harmlos und keineswegs besorgniserregend. Steht im Report nicht, welche Dateien beschädigt waren? Beschädigte Dateien gibt es aber auf so gut wie jeder Festplatte, also auch kein Grund zur Beunruhigung. Hast Du bei KAV aktuelle Signaturen verwendet und alle Dateien sowie alle Laufwerke gescannt? Wenn ja, dann sollte Dein Rechner jetzt Clean sein. Du müsstest eben nur noch die Backups und Wechseldatenträger durchscannen. </font><blockquote>Zitat:</font><hr /> Gerate schon wieder in Panik, habe andauernd Trojaner drauf - bitte um Hilfe... </font>[/QUOTE]Das ist nicht normal. Versuche mal, Dein System ein bisschen besser abzusichern und Dein Verhalten in bezug auf Internetsicherheit zu überdenken. |
29.07.2003, 21:21 | #15 |
| Trojan.Spy.PCGhost.413 </font><blockquote>Zitat:</font><hr />Original erstellt von FataMorgana: Du kannst die Datei löschen. Solltest Du sogar. Wenn Du Dich nicht gleich traust, benenne diese doch zunächst um (z. B. Extension .txt). Wenn das System dann stabil läuft, kannst Du sie immer noch löschen.</font>[/QUOTE]Okay, ich hab sie erstmal umbenannt. Läuft morgen noch alles einwandfrei, lösche ich ! </font><blockquote>Zitat:</font><hr />Original erstellt von FataMorgana: Welches Betriebssystem läuft überhaupt? Vermutlich Win NT oder 2000...</font>[/QUOTE]Jepp, Win 2000 </font><blockquote>Zitat:</font><hr /> Steht im Report nicht, welche Dateien beschädigt waren? Beschädigte Dateien gibt es aber auf so gut wie jeder Festplatte, also auch kein Grund zur Beunruhigung.</font>[/QUOTE]Nein, steht nichts genaueres! </font><blockquote>Zitat:</font><hr /> Du müsstest eben nur noch die Backups und Wechseldatenträger durchscannen.</font>[/QUOTE]Was meinst du mit Backups? </font><blockquote>Zitat:</font><hr /> Versuche mal, Dein System ein bisschen besser abzusichern und Dein Verhalten in bezug auf Internetsicherheit zu überdenken. [/QB]</font>[/QUOTE]Also ich lade nicht wahllos irgendwas herunter, habe Outlook express schon durch The Bad ausgetauscht, Kaspersky und At Guard läuft. Viel mehr kann man doch nu wirklich nicht machen, oder?
__________________ cu<br />seahorse |
Themen zu Trojan.Spy.PCGhost.413 |
andauernd, automatisch, befindet, datei, datein, dauernd, einstellung, ellung, folge, folgendes, infiziert, infizierte, infizierte datei, löschen, löschen?, nicht, ordner, panik, system 32, thread, troja, trojaner, virus, win32 |