...wird mir ein Trojaner, oder "Worm" auf den PC gesetzt!

Hallo erstmal!

Mein Name ist Ulli Henßen und ich bin neu auf diesem Board, darum wollte ich mich erstmal vorstellen!
Ein Bekannter hat mir diese Seite, bzw. dieses Forum empfohlen, weil ich ziemlich seltsames und auch sehr störendes Problem mit meinem PC habe, bei dem mir bisher niemand weiterhelfen konnte.

Das Problem ist Folgendes: Sobald ich die Firewall abschalte, wird mir innerhalb weniger Minuten ein "Worm" auf den PC gesetzt.
Ich benutze den "McAffee Virus Scan Online", sowie die "McAffee Firewall".
Die Firewall habe ich früher gelegentlich ausgeschaltet, um bei Online-Spielen einen besseren Spielablauf zu erreichen.
Vor einigen Wochen zeigte der Virenscanner einen "Worm" an, der allerdings nicht (vom Virenscanner) entfernt werden könne.
Ich habe ihn dann selbst entfernt, indem ich in die DOS-Ebene gewechselt bin und den DEL-Befehl verwendet habe.
Unter Windows war eine Entfernung nicht möglich, weil die Datei von Windows verwendet wurde.
Ich habe auch den Eintrag in der WIN.INI gelöscht und dachte, die Sache wäre damit erledigt; War sie aber keineswegs, mir wurden immer wieder "Würmer" auf den PC gesetzt.
Ich dachte, ich könnte das Problem lösen indem ich die Festplatte komplett lösche, falls d sich dort irgendwo ein, ich nenn es mal "Signalgeber" versteckt hätte, den der Virenscanner nicht erkennt.
Ich habe also "FORMAT C:" gemacht, Windows neu installiert, und als Allererstes den Virenscanner neu installiert.
Der download, bzw. die Installation des Virenscanners war grade beendet... "Es wurde der "Worm soundso" auf ihrer Festplatte gefunden!"
Ich habe ihn wieder entfernt, die Firewall auf "Tight security" gestellt und irgendwie gehofft, das Problem würde sich irgendwie von selbst erledigen! (Ja, ich bin etwas naiv!)
Vor ein paar Tagen mußte ich die Firewall neu installieren und war ein paar Minuten ohne Firewall im Netz.
Nach weniger als 5 Minuten schlug der Virenscanner Alarm: "Der "Worm XY" wurde gefunden und entfernt!"

Die einfachste Lösung wäre natürlich, den Kopf weiterhin in den Sand zu stecken und auf die Firewall zu vertrauen.
Das kann ich aber nicht, weil ich u. A. Online-Rennen fahre, und dabei ziemlich mit "Warp" (stockende Datenübertragung) zu kämpfen habe.
Das stört nicht nur meinen Spielablauf, sondern auch den Spielablauf anderer Teilnehmer und mir wurde nahe gelegt, entweder die Firewall auszuschalten, oder auf die Teilnahme zu verzichten.
Ich möchte beides nicht!

Ich habe keine große Ahnung von PC's, aber es ist doch wohl als sicher anzusehen, dass sich auf meinem PC (trotz "FORMAT C:") irgendetwas befindet, das irgendjemand ständig dazu auffordert, mir einen "Worm" zu übertragen?
Aber wie ist das möglich?
"FORMAT C:" heißt doch, die Platte ist komplett (!!!) leer?
Aber trotz "FORMAT C:" wurde der "Worm" wieder auf meinen PC gepflanzt, obwohl zu diesem Zeitpunkt nur Windows darauf sein konnte?

Es würde mich sehr freuen, wenn mir jemand bei diesem Problem helfen könnte!

Ein frohes neues Jahr und alles Gute,

ullih

Das wir der Opasoft oder Opaserv.worm sein.(Ist beides das selbe nur anderer Name)
Du mußt die Datei-und Druckerfreigabe löschen und die Ports 137-139 schliessen, dann hat sich das mit dem Wurm.
Cleaner Tools gibt es bei www.bitdefender.de,
dann brauchst du erstmal nicht mehr formatieren.

Hier gibt es unter anderem einen Patch:
http://support.microsoft.com/default...d=kb;de;D43811

Hier infos:
http://www.kaspersky.com/de/news.html?id=946770
http://www.sophos.de/virusinfo/analy...2opaserva.html
http://jakobsoftware.de/Avg/vir_opas.htm

[ 01. Januar 2003, 16:35: Beitrag editiert von: [TB]Lucky ]

Vielen Dank erstmal, werd' mal schauen ob ich das hinkriege. Ich weiß zwar dass es Ports gibt, aber wie ich die schließen soll?
Schaun mer mal!

Was mich aber viel mehr interessiert: Wieso wird immer wieder versucht diesen Wurm auf meine Platte zu setzen, bzw., wie findet der mich?

Ulli

Er findet dich, in dem er nach den offenen 137-139 Ports scannt... Dann kopiert er sich drauf und treibt sein unwesen.

So habe noch eine Anleitung für dich um die Ports 137-139 zu schliessen... Für Win9x ist hoffe du hast das... wenn nich dann muss jemand anders mal helfen.. [img]smile.gif[/img]

So danke an Paranioa für den Link

http://www.trojaner-info.de//sicherh...rts137-139.htm

[ 01. Januar 2003, 17:30: Beitrag editiert von: [TB]Lucky ]

Das heißt also jetzt, ganz dumm und einfach ausgedrückt, das "Ding" rast seit Wochen (Monaten?) durch's Netz, und stürzt sich auf Alles, was Port 137 - 139 geöffnet hat, was von Windows (wie ich grade gelesen habe) standardmäßig geöffnet wird?
Das hieße ja, das Millionen andere User das Selbe Problem haben müßten wie ich?
Und sowas entgeht einer solchen Riesenfirma wie McAffee???
Also, ich habe keine Warnung bekommen?

Ulli

Hallo Uli, willkommen!

Schönes Neues!

</font><blockquote>Zitat:</font><hr />Original erstellt von ullih:
Das Problem ist Folgendes: Sobald ich die Firewall abschalte, wird mir innerhalb weniger Minuten ein "Worm" auf den PC gesetzt.</font>[/QUOTE]Das ist ein recht typisches Beispiel dafür, was passiert, wenn man sich nur auf eine Pseudo-Sicherheitssoftware (Personal Firewall) verlässt, und aufgrunddessen Sicherungsmaßnahmen an ganz anderer Stelle, die viel essentieller und wichtiger wären, vernachlässigt.

Du hast nämlich Glück, dass Dich die neueste Version des Opasoft Dich verschonte:
http://www.trojaner-board.de/forum/u...c;f=6;t=003753

</font><blockquote>Zitat:</font><hr />Die Firewall habe ich früher gelegentlich ausgeschaltet, um bei Online-Spielen einen besseren Spielablauf zu erreichen.</font>[/QUOTE]Warum benutzt Du überhaupt eine? Allein jedenfall, ohne die Integration innerhalb eines kleinen Sicherheitskonzeptes, ohne bestimmte Verhaltensweisen oder Sicherung des Betriebssystems und der auf ihm laufenden Anwendungen, wirkt sie sich eher kontraproduktive aus - ohne etwas Wissen geht es leider nicht.

</font><blockquote>Zitat:</font><hr />War sie aber keineswegs, mir wurden immer wieder "Würmer" auf den PC gesetzt.</font>[/QUOTE]Klar - weil Du die Datei-/Druckerfreigabe für TCP/IP -&gt; DFÜ-Adapter aktiviert hast (zudem ohne wichtigen Sicherheitspatch!).

</font><blockquote>Zitat:</font><hr />Ich habe also "FORMAT C:" gemacht, Windows neu installiert, und als Allererstes den Virenscanner neu installiert.</font>[/QUOTE]Zu Formatieren war an dieser Stelle wirkungslos und vollkommen unnötig - es hätte bereits die Installation eines kleinen Patches gereich, oder das simple entfernen einen Häkchens mit anschließendem Neustart.

</font><blockquote>Zitat:</font><hr />[...]irgendwie gehofft, das Problem würde sich irgendwie von selbst erledigen!</font>[/QUOTE]Du solltest zukünftig dringend unter anderem Dein Betriebssystem mit aktuellen Patches versehen, bzw. diese installieren. Die meisten Würmer via eMail verbreiten sich u.a. deswegen rasant, weil z.T. noch nicht einmal mehrere Jahre verfügbare Patches installiert wurden.

</font><blockquote>Zitat:</font><hr />Vor ein paar Tagen mußte ich die Firewall neu installieren und war ein paar Minuten ohne Firewall im Netz.</font>[/QUOTE]Wichtiger Tipp, nochmal wiederholt: Betriebssystem und die Anwendungen jeweils absichern, sowie informieren, was eine Personal Firewal leisten kann und was nicht. Zudem ein entsprechendes Informationsverhalten, z.B. Seiten wie www.golem.de oder www.heise.de verfolgen, was aktuell zu beachten ist.

</font><blockquote>Zitat:</font><hr />Die einfachste Lösung wäre natürlich, den Kopf weiterhin in den Sand zu stecken und auf die Firewall zu vertrauen.</font>[/QUOTE]Das mag zwar als einfachste Lösung erscheinen - es ist aber 1.) eine sehr unsichere, weil nur Scheinsicherheit, und zweitens ist es ebenso einfach, mal ein paar wichtige Patches einzuspielen. [img]smile.gif[/img]

</font><blockquote>Zitat:</font><hr />[...]und mir wurde nahe gelegt, entweder die Firewall auszuschalten, oder auf die Teilnahme zu verzichten. Ich möchte beides nicht!</font>[/QUOTE]Dann konfiguriere Dein System sicher - somit kannst Du auch die Firewall abschalten.

</font><blockquote>Zitat:</font><hr />aber es ist doch wohl als sicher anzusehen, dass sich auf meinem PC (trotz "FORMAT C:") irgendetwas befindet, das irgendjemand ständig dazu auffordert, mir einen "Worm" zu übertragen?
Aber wie ist das möglich?</font>[/QUOTE]Nun, allgemein kann man nicht sagen, dass man mittels Formatieren einen Virus sicher entfernen kann - z.B. geht dies dann nicht, wenn es sich um einen Bootsektorvirus handelt.

Zudem wird in diesem konkreten Fall der Wurm nicht angefordert, nein, er kommt allein von außen herein, weil "die Tür nach draußen sperrangelweit offensteht"!

[ 01. Januar 2003, 18:17: Beitrag editiert von: mmk ]

Ok ok, soweit klar und verstanden, vielen Dank!
Habe grade mal einen Port-scan durchgeführt, und Port 139 war sowas von offen...
Soweit so gut, ich weiß also jetzt wie ich ihn schließe...
Aber was passiert mit meinem LAN, bzw. bei Onlinespielen wenn Port 139 geschlossen ist?
Wie wirkt sich das aus?

Ulli

Hey ullih

</font><blockquote>Zitat:</font><hr />Original erstellt von ullih:
....
Die einfachste Lösung wäre natürlich, den Kopf weiterhin in den Sand zu stecken und auf die Firewall zu vertrauen.
</font>[/QUOTE]weder das eine noch das andre ist 'ne Lösung -- Kopf in den Sand... - haste ja schon schlauerweise nicht gemacht, sondern hier nachgefragt [img]graemlins/daumenhoch.gif[/img]

.. und auf die Firewall vertrauen.. nööööö.. - da solltest Du Dich mal dringend über Firewalls informieren, z.B. Firewall-FAQ von Rokop-Security oder bei Trojaner-Info-Firewall-FAQ

fish

Hi Markus!

Oje oje, da hab' ich aber "Prügel" gekriegt!
Klar, stimmt alles was Du da sagst, aber wenn man keine Ahnung hat...
Soll man zusehen, dass man welche kriegt, ja ja, stimmt ja alles!
Ok, erst mal vielen Dank, Ihr habt mir sehr geholfen!
Ich werde die Sache direkt Morgen mal in Angriff nehmen!
Ich werde diese Seite auf jeden Fall weiterempfehlen und wir hören voneinander! [img]smile.gif[/img]

Alles Gute,

Ulli

Hallo
Netbios stellt man bei Win9X/Me Systemen auch einfach dadurch ab, dass man die Datei "vnbt.386" in C:\windows\system in irgentwas anderes umbenennt. Hat man das gemacht, sind auch die Ports 135-139 geschlossen.

Bei anderen Windowssystemen gibt es dafür ein Häckchen in der Systemsteuerung bei Netzwerke. Hier mann man das, so viel ich weiss, bei jeder Netwerkbindung einzeln mit einem Häckchen ein- oder ausschalten.

manman

[ 01. Januar 2003, 19:39: Beitrag editiert von: manman ]

So, da bin ich wieder!
Hätte mich ja gerne früher gemeldet, hatte aber leider diesen "Opawurm" in:
C:\WINDOWS\BRASIL.PIF
C:\WINDOWS\MARCO!.SCR
C:\WINDOWS\INSTIT.BAT

Das ist leider kein Witz!

BRASIL.PIF ist direkt gelöscht worden, MARCO!.SCR kann nicht gelöscht werden und von INSTIT.BAT habe ich bisher nichts mehr gehört.
Falls das ein "Witzchen" war, um mir die Unzuverlässigkeit meiner FW drastisch vor Augen zu führen... Danke, hab' sehr gelacht! [img]smile.gif[/img]

Jedenfalls ist Port 139 jetzt zu, wie sich das auf's LAN auswirkt werd' ich noch testen!

Tja, jetzt habe ich nur leider den Wurm in mindestens noch einer Datei.
Da der PC seit dem letzten "FORMAT C:" absolut mies lief, wollte ich sowieso noch mal "die Platte putzen", also kein Problem.

Weiß übrigens jemand, wozu diese "MARCO!.SCR" und INSTIT.BAT gut sind?
Vielleicht genügts ja, wenn ich die einfach auf der DOS-Ebene rausschmeiße?

Gruß,

Ulli

Benenn die Dateien um, mach nen Neustart und wenn alles funzt lösch sie halt.

Gorgo

Hallo!

Diese Dateien sind allesamt die Malwaredateien. Löschen und gut. Ggf. vorher mit Trojancheck die Prozesse beenden, Dateien dann löschen, entsprechende Registry- und win.ini-Einträge entfernen - das war's. [img]smile.gif[/img]

Dann sichere danach Dein System vernünftig ab, spiele alle Updates und Patches ein, sorge für sichere Anwendungen (also z.B. NICHT den Internet Explorer oder ein altes Outlook verwenden, etc.).

Dann kommst Du auch vom Formatieren mal weg - ist alles unnütz vertane Zeit.

Ah, genau danach wollt' ich grade fragen, die lassen sich nämlich nicht löschen; Unverschämtheit, sowas! [img]smile.gif[/img]

Und noch was: Der Portscanner, der mir weiter oben empfohle wurde sagt, Port 139 sei sicher; Aber der Portscanner von hackerwatch.org sagt, er sei nach wie vor offen...
Ja, was jetzt???

Ulli

Suche vorsichtshalber noch nach den Dateien "alevir.exe" und "scrsvr.exe." Das sind nämlich die (fehlenden) Dateinamen der restlichen (ITW-)Opaserv-Varianten.