Hallo, ich bin neu hier und gleich mit einem fetten Problem. Anfang der Woche hatte ich den Protoride.F, der auch erfolgreich entfernt wurde (nicht von mir) und heute morgen wurde mit der Protoride.G angezeigt. Kann ich den irgendwie selbst entfernen, also ohne den PC-Spezi?

Hi,

welches Win hast Du ?
Welches AV-program in welher Version ?
wo genau wurde denn das Ding gefunden ?

--> Jeweils exakter Virenname und kompletter Pfad und Dateiname:
s. großer AV-Report oder Log-File vom AV-Guard (im
AV-Ordner)


Evtl. auch die infizierte Datei mal mit OnlineScannern
von Trend, RAV & KAV scannen:
( AV-Guard vorher deaktivieren!! )
-> damit ist ein Test auf Fehlalarm bzw genauere
Identifizierung möglich


Entfernungs-Tools gibt's evtl bei:
www.Bitdefender.com , www.Pandasoftware.com ,
www.Symantec.com
jeweils unter Downloads zu finden


!!!*** Wenn die Datei im RESTORE-Ordner gefunden
wurde:
Systemwiederherstellung ausschalten, reboot, und weg
isser'
-->
s. obige Forensuche nach RESTORE bzw.
www.free-av.de/merestore.htm

Hallo!

Wurmbeschreibungen gibt es hier:

http://www.sophos.de/virusinfo/analy...rotorideg.html
http://vil.nai.com/vil/content/v_101046.htm
http://securityresponse.symantec.com...ride.worm.html

Erhellend hinsichtlich des Verbreitungsweges ist dazu die Beschreibung von Sophos:

"W32/Protoride-G ist ein Windows-Wurm, der sich über Netzwerkfreigaben verbreitet. Der Wurm verfügt außerdem über eine Backdoor-Komponente, die unbefugten Fernzugriff über den Computer via IRC-Kanälen ermöglicht."

Ich denke daher, du nutzt Windows XP (oder zumindest Win 2000). Ferner wird es so sein, dass bestimmte Dienste nach außen hin angeboten werden, deren Sicherheitslücken dann von diesem Wurm ausgenutzt werden.

Nutzt du den PC als "Einzelplatz", oder innerhalb eines Netzwerkes?

[ 02. April 2004, 13:27: Beitrag editiert von: mmk ]

@Markus

Ich benutze noch Windows 98, momental als Einzelplatz. Die Virenbeschreibungen kannte ich aber das hilft mir nicht weiter.

Er sitzt in Autostart und blockiert mir Anwendungen, die ich über Desktop aufrufe.

Außerdem hat Protoride.F meine Shortcut-Leiste abgeschossen und sie lässt sich auch über die Reparatur-Funktion der Office 2000 CD nicht wieder hierstellen.

@ Who cares

Ich habe Win 98.
Ursprünglich hatte ich Norton 2004, der ließ sich nicht mal mehr öffnen. Deshalb deinstalliert und Antivir geladen, ebenso noch einmal mit AVG getestet und Onlinescanning mit Tend M. Folgende Meldung: c/windows/startmenü/Programme\Autostart\winocx32.exe
Und noch den Hinweis, dass sich hier ein Eintrag befindet: HKEY_CLASSES_ROOT\EXEFILE\SHELL\OPEN\COMMAND

Jedenfalls wurde Protoride.F entfernt und nun, 2 Tage später habe ich .G.

Starte Windows im "Abgesicherten Modus" und mache einen Fullscan

rufe über Start ausführen "msconfig" auf und gehe dort auf die Autostarteinstellungen und nimm den Aufruf raus

</font><blockquote>Zitat:</font><hr />Original erstellt von Who Cares:

Evtl. auch die infizierte Datei mal mit OnlineScannern
von Trend, RAV & KAV scannen:
( AV-Guard vorher deaktivieren!! )
-&gt; damit ist ein Test auf Fehlalarm bzw genauere
Identifizierung möglich
</font>[/QUOTE]Nicht nötig, habe es schon öfter probiert, bisher hat KEIN Online-Scanner gestört.
Aber:
KAV ist nur um einzelne Dateien per upload zu überprüfen. Warum dazu ein Viren-Wächter ausgeschaltet werden sollte erklär mir mal bitte!
Selten eine so schlechten Rat (von Dir) gelesen!
aber wen kümmert's?

</font><blockquote>Zitat:</font><hr />Original erstellt von Shadow:
Warum dazu ein Viren-Wächter ausgeschaltet werden sollte erklär mir mal bitte! </font>[/QUOTE]Hi shadow,
bin ich dir in letzter Zeit zu oft auf die Füße getreten ?


Wenn ein AV-GUARD eine Datei als infiziert erkennt, sollte vorerst kein Zugriff durch Onlinescanner möglich sein, es sei denn, der User läßt den Zugriff explizit zu (und bei einigen On-Access-Scannern geht das afaik gar nicht).

dann können die anderen produkte imho nicht scannen, und nix melden, egal ob Fehlalarm oder reale Infektion.
Das gilt natürlich auch für KAV-Online, aber nicht für Malware, die zwar vom OL-Scanner, aber nicht vorhandenen Guard gesehen werden.
Vielleich meintest du letzteres, das es da keine Konflikte gibt ?

Also imho:
- Komplettscan zur Suche nach unentdeckter Malware: kein Konflikte
- Scan einer spezifischen, als infiziert gemeldeten Datei: Konflikte/Sinnlos/schwierig, wenn ein Guard aktiv ist

Aber ich lass mich gerne belehren

Hi Katharina,

wenn du den Fiesling entfernt hast, mache unbedingt die Windowsupdates, deaktiviere oder schreibschütze deine netzwerkfreigaben (mit sicheren!! Passwörtern) oder deaktiviere die Datei- und Druckerfreigabe am besten ganz:
http://www.trojaner-info.de/sicherhe...hritt5_neu.htm

</font><blockquote>Zitat:</font><hr />Original erstellt von Who Cares:
</font><blockquote>Zitat:</font><hr />Original erstellt von Shadow:
Warum dazu ein Viren-Wächter ausgeschaltet werden sollte erklär mir mal bitte! </font>[/QUOTE]Hi shadow,
bin ich dir in letzter Zeit zu oft auf die Füße getreten ?

</font>[/QUOTE]Bist Du mir überhaupt schon mal auf die Füße gestiegen?
(Antwort also: Nein)

</font><blockquote>Zitat:</font><hr />Original erstellt von Who Cares:

Wenn ein AV-GUARD eine Datei als infiziert erkennt, sollte vorerst kein Zugriff durch Onlinescanner möglich sein, es sei denn, der User läßt den Zugriff explizit zu (und bei einigen On-Access-Scannern geht das afaik gar nicht).

dann können die anderen produkte imho nicht scannen, und nix melden, egal ob Fehlalarm oder reale Infektion.
Das gilt natürlich auch für KAV-Online, aber nicht für Malware, die zwar vom OL-Scanner, aber nicht vorhandenen Guard gesehen werden.
Vielleich meintest du letzteres, das es da keine Konflikte gibt ?

Also imho:
- Komplettscan zur Suche nach unentdeckter Malware: kein Konflikte
- Scan einer spezifischen, als infiziert gemeldeten Datei: Konflikte/Sinnlos/schwierig, wenn ein Guard aktiv ist

Aber ich lass mich gerne belehren </font>[/QUOTE]Also einig sind wir uns aber schon das es - sagen wir mal - "eher ungewöhnlich" ist für einen Dateiupload (Kaspersky "Online"-Scan) den Virenwächter auszuschalten?

[ ] ja
[ ] nein

Zu einem OnlineScan mit TrendMicro (und Bitdefender) kann ich dir nur aus persönlicher Erfahrung sagen:
Ohne Erkannten Virenbefall
Absolut kein Problem im Zusammenspiel mit Wächter/Guard/.. von
Norton AV, H&B EDV, McAfee, CA eTrust, NOD32 (IIRC) und AFAIK Bitdefender

Bei erkannten Virenbefall + NAV war es kein Problem für den Onlinescanner von TrendMicro die befallenen Dateien zu löschen, während NortonAV lief.
Normalerweise lösche ich aber erkannte Dateien die NAV zum Beispiel nicht behandeln kann manuell und lasse danach noch mal per Onlinescanner gegenprüfen.
Allerdings haben meine PCs keine Viren (zumindest weiß ich von keinen)

Hi Shadow,

1) nein, bzw ist wohl produkt/guard-abhängig

(Wie gesagt, das gilt alles nur, wenn der vorhandene Wächter eine Datei als infiziert meldet)

bei meinem Wächter (F-Stopw) kann ich weder einen KAV-Upload/Scan machen, noch meldet Trend mir die Viren meines Testsets, da der Monitor immer dazwischenfunkt und die Lesezugriffe blockt


Hab natürlich auch keine aktiven Viren (imho); auf dass es bei uns so bleibe
[img]smile.gif[/img]

</font><blockquote>Zitat:</font><hr />Original erstellt von Katharina:

Ich benutze noch Windows 98, momental als Einzelplatz.</font>[/QUOTE]&gt;Systemsteuerung &gt;Netzwerk &gt;Datei-/Druckerfreigabe -&gt;Deaktivieren!


</font><blockquote>Zitat:</font><hr />Er sitzt in Autostart und blockiert mir Anwendungen, die ich über Desktop aufrufe.</font>[/QUOTE]Befolg bitte folgende Anleitung Schritt für Schritt:

1.) Lad dir Trojancheck von http://trojancheck.de

2.) Beende die Internetverbindung.

3.) Starte den PC im abgesicherten Modus (F8 beim Start gedrückt halten).

4.) Installier Trojancheck (ggf. die Installationsdatei zuvor von exe in com umbenennen).

5.) Geh dann im abgesicherten Modus in &gt;Systemsteuerung &gt;Ordneroptionen. Stell sicher, dass hier die Anzeige aller Dateien, Ordner und Dateieindungen, also auch versteckte Dateien z.B., aktiviert ist.

6.) Geh in den Programmordner von Trojancheck, und benenn die tc6.exe um in z.B. rettung.exe - doppelklick diese Datei dann und Trojancheck müsste sich öffnen.

7.) Geh in Trojancheck auf "Prozesse und Überwachung".

8.) Such dort in der Übersicht der laufenden Prozesse nach dem laufenden Prozess des Wurmes / Backdoors: c:\windows\startmenü\Programme\Autostart\winocx32.exe

9.) Markier diesen Eintrag, und klick dann rechts auf "Prozesse beenden" - somit wird der markierte Prozess beendet.

10.) Geh in c:\windows\startmenü\Programme\Autostart\ und such nach der Wurm-Datei winocx32.exe - klick sie mit rechts an und wähl Ausschneiden. Füg sie sodann in einen Quarantäneordner z.B. unter "Eigene Dateien" ein, und speicher sie innerhalb eines passwortgeschützten (zip)-Archives.

11.) Such nun in Trojancheck in der Auflistung unter "Autostarts" nach allen Registry-Einträgen, die auf diese soeben verschobene Datei verweisen, markier sie, heb rechts in Trojancheck den Schreibschutz auf und wähl sodann "Löschen".

12.) Lad dir diese Datei und führe sie aus:
http://klaffke.de/dl/exe-regfix.reg - danach kannst du wieder exe-Dateien wie gewohnt ausführen.


Insgesamt empfehle ich dir jedoch, das System neu aufzusetzen.

[ 02. April 2004, 15:29: Beitrag editiert von: mmk ]

Hallo,
habe mir letztens - wie auch immer - den Wurm Protoride eingefangen.

Das Entfernen war mir zu doof, so habe ich mein System neu "aufgesetzt" (formatiert, WIN 98 neu installiert).

Nur NAV, Grafikkartentreiber (uralt) und Office 2000 (ohne Daten von Outlook!) installiert. Schon war das Vieh wieder da!!! Zum Glück hat NAV den Wurm erkannt und isolieren können.

Fragen:

Wo kommt das Teil eigentlich her?
Warum findet NAV ihn beim Systemcheck nicht?
Wie resistent ist denn der Wurm? Reicht eine Formatierung der Festplatte nicht aus?

Äußerst nervig.

Vielen Dank für Eure Hilfe.
Uli

Das Teil verbreitet sich wohl über Netzwerkfreigaben und da ist Windows98 "etwas" unsicher.
Ist Dein Windows ein alleine stehender PC?
Wie geht Dein System ins Inet?
Wie meldest Du Dich ans System an?

Vor dem Plattmachen der Platte hatte ich ISDN über DFÜ-Adapter, Netzwerk ab und zu mit Laptop mit Win 2k, der diesen Wurm nicht hat (oder will der da nur nicht fressen?).

Nach dem Plattmachen (format) habe ich tatsächlich wieder das Netz in Gang gebracht mit dem Klapprechner.

Setidem - weil gerade neu bekommen - DSL über Ethernet.

Wenn der Wurm auf dem Laptop sein sollte, WARUM FINDET NAV DEN NICHT?

Uli