neue Variante von W32.Netsky ?
 

Hi,
habe mir in meinem XP-Home-PC per mail einen Wurm eingefangen. Das Antivirenprogramm meldet W32.Netsky.P@mmlenc. Diese Variante mit "lenc" am Ende scheint neu zu sein. Jedenfalls habe ich im Netz nichts darüber gefunden. Habe mir 2 Removal-Tools für W32.Netsky.P@mm besorgt und eingesetzt - beide haben nichts gefunden.
Der Wurm sitzt in der Inbox des Mailprogramms (Thunderbird). Mailen mit Thunderbird ist nicht möglich, da ständig die Warnmeldungen des Virenscanners auftauchen. Zur Zeit maile ich wieder mit Outlook Express, das klappt.
Im Windows Explorer läßt sich die Thunderbird-Inbox nicht löschen (Löschen eines aktiven Programmes wird verweigert, obwohl Thunderbird nicht läuft).
Was nun? Hilfe!!
Schöne Grüße.
Holger

@Holgi2000
Inbox von Thunderbird kann man über Thunderbird leeren. Wenn du genau weißt, welche E-Mail den Anhang mit Virus enthält, kannst du nur diese E-Mail löschen, danach - Papierkorb von Thunderbird (Trash) leeren/löschen.

Hi und danke. Inbox ist gelöscht, aus TB heraus. Aber der Wurm ist noch da. Sobald ich mit der Maus im Explorer auf die Inbox gehe (ohne zu klicken!), kommt wieder die Warnmeldung des Virenscanners. Das Viech ist also noch aktiv. Und: Kann es sich nicht schon anderswo ausgebreitet haben, zB. in der Registry?
Gruß
Holger

Warum hast Du die ganze Inbox gelöscht?

http://www.thunderbird-mail.de/hilfe...mprimieren.php

Warum sollte das Vieh aktiv sein? Du hast doch wohl kaum den Mailanhang ausgeführt, oder? Von alleine wird sich so ein Wurm nicht aktivieren!

Du solltest Dein Mailprogramm beim AV-Scanner / -Wächter als Ausnahme definieren!

Gruß :daumenhoc
Yopie

Hi Yopie!
Nein, den Anhang habe ich nicht ausgeführt. Und der TB steht beim Virenscanner bereits als Ausnahme drin.
Habe die Inbox normal über TB gelöscht, danach den Papierkorb. Mich hat auch dieser mouse-over-Effekt im Windows-Explorer irritiert, der meinen Virenscanner zu einer Meldung veranlaßt hat. Aber durch deinen Link bin ich auf eine TB-Seite gekommen. Dort steht der Tipp, die Ordner zu komprimieren. Das habe ich getan. Seitdem ist alles ruhig. Aber ich will mich nicht zu früh freuen.
Übrigens: Bei genauem Hinsehen lautet der Name des Wurms "W32.Netsky.P@mm!enc" - also mit Ausrufezeichen, nicht mit 'l'. Scheint tatsächlich neu zu sein, sonst hätte das Removal-Tool doch was gefunden, oder?
Danke schön erstmal. Wenn der Wurm nochmal rumzickt, melde ich mich.
Schöne Grüße.
Holger

Meine Vermutung ist, dass das "enc" für encoded steht. Das passt ja auch, denn in der Mail ist der Wurm-Anhang ja kodiert (base64).

Das ist schon richtig, dass das Removal-Tool die Mail nicht angemeckert hat. Es sollte Maildatenbanken in Ruhe lassen. Schlechte Tools löschen einfach die Inbox, und dann sind alle Mails weg, auch die guten.
Der Wurm ist übrigens schon alt.

Gruß :daumenhoc
Yopie

Wenn man die Inbox löscht, sind alle mails weg? Auch die zB. in den Ordnern "Gesendet" und den von mir selbst angelegten mailordnern? Ich dachte dann würde nur der Ordner "Posteingang" geleert.
Danke für die Infos, Yopie.
Gruß
Holger
:party:

Da hab ich mich missverständlich ausgedrückt. Natürlich wird durch Löschen der Datei "Inbox" nur der Posteingang gelöscht. Dort, im Posteingang, sind dann alle Mails weg. Aber manche Leute haben alle empfangenen Mails in der Inbox.

Das Löschen der Mails sollte man im Programm selber vornehmen, nicht durch Löschen der Datei. Es hätte gereicht, die einzelne Mail mit dem Wurm dauerhatft (also inkl. Komprimieren des betreffenden Ordners) zu löschen.

Gruß :daumenhoc
Yopie

@Yopie
FULL ACK!
;)

Ich danke euch. Bei mir scheint alles klar zu sein. Wurm weg. :huepp:
Gruß
Holger

Etwas Ungewöhnliches passiert leider doch: Ich mußte Windows schon 3mal bei Microsoft aktivieren. Das System behauptete, ich hätte wesentliche Teile der Hardware verändert, was natürlich Quatsch ist.
Kann das mit dem Wurm zusammenhängen? Oder woran kann das sonst liegen? Was tun? :kloppen:
Schöne Grüße.
Holger