shakkan 10 Geschrieben 29. September 2003 Melden Teilen Geschrieben 29. September 2003 :: HELP HELP HELP :: Hallo alle zusammen! Wir haben folgendes Problem mit dem WURM W95/Pinfi.A + B (W32/PARITE): seit 1 Woche plagen wir uns mit dem Virus auf sämtlichen Maschinen und Servern. Mit dem Norman AV sowie diversen Gratis-Programmen versuchen wir diesen lästigen - alten Wurm zu erlegen... Leider bislang erfolgslos! BISHERIGE BEMÜHUNGEN: ::: im DOS-Modus mit CD-Rom von Norman einen FULL-Scan gemacht und diverse Dateien gelöscht, resp. entfernt, repariert! ::: mit dem AV-Programm (AntiVir) ebenfalls im DOS modus gescannt und sämtliche Eliminiert! ::: Im DOS-Modus den TEMP-Ordner gelöscht ::: In der Registrierung (Regedit) sämtliche Einträge (Pinf oder Pinfi) gelöscht. ::: Die Maschine vom Netz Abgehängt, und gebootet. Sobald wir die Maschine anmelden wollten (obwohl das LAN-Kabel nicht angesteckt war) erhielten wir erneut diverse VIRUS-Meldungen... ::: Haben das ganze nochmals im MSDOS-Eingabeaufforderungsfeld gestartet (AV-Programme) und siehe da, wieder jenste Viren da...?! HELP .... wie kriegen wir diesen parasiten weg?? Besten Dank für eure Tips! Zur info: der Virus ist bereits seit 1999/2000 im Umlauf...! danke SHAKKAN Zitieren Link zu diesem Kommentar
MurphY MacManus 10 Geschrieben 29. September 2003 Melden Teilen Geschrieben 29. September 2003 wenn sämtliche anti-viren maßnahmen a'la scan, reparatur, löschen nicht helfen ist wohl zur vollständigen entfernung des virus(-es?) eine formatierung unausweichlich.... :( Zitieren Link zu diesem Kommentar
Lexxington 10 Geschrieben 29. September 2003 Melden Teilen Geschrieben 29. September 2003 http://vil.nai.com/vil/default.asp http://www.symantec.com/avcenter/tools.list.html Guck mal da, ob du was geeignetes findest. Zitieren Link zu diesem Kommentar
shakkan 10 Geschrieben 29. September 2003 Autor Melden Teilen Geschrieben 29. September 2003 auf diesen seiten war ich schon... leider wird dieser virus nicht aufgeführt... PINFI oder PARITE wedernoch ist bei Symantec erwähnt... die remove tools sind nicht für diesen alten wurm erhältlich...! HELP ... bin absolut ratlos... Zitieren Link zu diesem Kommentar
Lexxington 10 Geschrieben 29. September 2003 Melden Teilen Geschrieben 29. September 2003 http://securityresponse.symantec.com/avcenter/venc/data/w32.pinfi.html http://www.sophos.com/virusinfo/analyses/w32pariteb.html Man könnte glatt glauben, dass "googlen" manchmal echt hilft. 8) Zitieren Link zu diesem Kommentar
günterf 45 Geschrieben 29. September 2003 Melden Teilen Geschrieben 29. September 2003 Hi! http://www.trojaner-info.de/ An dieser Stelle würde ich mal nachsehen. Günter Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 29. September 2003 Melden Teilen Geschrieben 29. September 2003 Den Virus habe ich mir vor knapp 3 Monaten bei einem Downlaod eingefangen (wo sage ich nicht :p ). Der ist echt aggressiv, breitet sich rasend schnell über Freigaben aus, befällt irrsinig viele Dateien, man kommt kaum hintendrein mit säubern und neu säubern (wie du auch schon bemerkt hast), und dann ist es halt wioe bei vielen Viren so, dass muss man ganz klar sehen, die Virenscanner, die eine Desinfektion anbieten, schnippeln nach ihrer guten Meinung was von den befallenen Dateien weg. Wie die Datei vorher ausgesehen hat, was das Tool nicht. Und so kam es, wie es kommen musste, mein DC war nicht mehr richtig zu bedienen, meine WS waren lahm. Ich habe die ganze Domäne neu aufsetzen müssen. Und mal ehrlich: wie weit traust du in Zukunft einem System/Netzwerk, das von so einem Virus wochenlang zerfreesen war? grizzly999 Zitieren Link zu diesem Kommentar
nerd 28 Geschrieben 29. September 2003 Melden Teilen Geschrieben 29. September 2003 Hi, da muss ich grizzly recht geben. Schau zu, dass deine Sicherungen sauber sind und setzt dein System neu auf. Vermutlich geht das schneller wie das Teil aus allen Teilen des Netzes zu entfernen. Denke aber daran, die Clients und Server gleich richtig zu schützen!!! Auf keinen Fall würde ich altes Netz und neues Netz gleichzeitig laufen lassen. Alle Clients aus. Server neu aufsetzen. RIS einstellen und los gehts... Gruß Zitieren Link zu diesem Kommentar
MurphY MacManus 10 Geschrieben 30. September 2003 Melden Teilen Geschrieben 30. September 2003 das bedeutet dann wohl nachtschicht für ihn :P ;) Zitieren Link zu diesem Kommentar
Lexxington 10 Geschrieben 30. September 2003 Melden Teilen Geschrieben 30. September 2003 Original geschrieben von shakkan seit 1 Woche plagen wir uns mit dem Virus auf sämtlichen Maschinen und Servern. Nachtschicht ist gut. ^^ Zitieren Link zu diesem Kommentar
nerd 28 Geschrieben 30. September 2003 Melden Teilen Geschrieben 30. September 2003 Wer den Schaden hat... ne im Ernst shakkan überleg dir mit deinen Vorgesetzten zusammen gut ob ihr das System wirklich "retten" wollt. Es KANN zwar gut gehen aber auf das System würde ich mich nicht mehr unbedingt verlassenw wollen. Zumal Folgefehler Vorprogramiert sind. Eine jetzt entfernte Datei macht dem System evtl. nichts aus - nach einer Neuinstallation eines Programmes aber vielleicht schon - und dann den Fehler zu finden ist bestimmt nicht einfach... Gruß Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 1. Oktober 2003 Melden Teilen Geschrieben 1. Oktober 2003 So sehe ich das auch. Wenn in einer befallenen Datei der Virenscanner zu viel weggeschnitten hat, diese Datei von einem Programm aber erst in zwei Monaten gebraucht wird, und dabei Fehler auftreten, wir man immer im Zweifel sein, ob es Spätfolgen des Virenschadesns sind, oder ein neues Problem. grizzly999 Zitieren Link zu diesem Kommentar
jester428 10 Geschrieben 1. Oktober 2003 Melden Teilen Geschrieben 1. Oktober 2003 @shakkan: Es gibt vielleicht doch noch Hoffnung: Habe gerade mal bei Trendmicro nachgeschlagen und die schreiben Folgendes: TYP "A" Virus type: File Infector Destructive: No Aliases: W32/Parite-B, Win32.Pinfi.A, W32.Pinfi, PARITE.A, Win32.Parite.b Description: This nondestructive, memory-resident virus infects all .EXE and .SCR files in all local and shared network drives. TYP "B" Virus type: File Infector Destructive: No Aliases: Win32/Parite.B, W32/Parite-B, Win32.Pinfi.A, Win32/Pinfi.A, Win32.Parite.b, W32.Pinfi, W32/Pate.b.tmp Description: This malware is the dropped DLL file of PE_PARITE.A. It infects all *.EXE and *.SCR files in all local and shared network drives. However, it does not execute on its own and needs to be invoked by another application. Solution: For Windows 95/98/ME Systems: Download the ERD (Emergency Rescue Disk) from the Trend Micro site. http://www.trendmicro.com/en/products/desktop/pc-cillin/use/erd.htm Turn off the infected computer. DO NOT reset or reboot because some viruses may remain intact in the computer's memory. Insert Disk 1 - "Emergency Boot Disk” into your A: drive and turn on the computer. Follow the on-screen prompts. When the scan is complete, remove the disk from your floppy drive and restart your computer. For Windows NT/2K/XP Systems: Close all running applications. Open the Trend Micro product you are using or go to HouseCall, Trend Micro's free online virus scanner. http://housecall.antivirus.com/ The EXPLORER process is infected and needs to be terminated before cleaning can be done. To do so, follow these instructions: Open Task Manager by pressing CTRL+SHIFT+ESC. Click the Processes tab and click EXPLORER.EXE. Click the End Process button. (The Windows Startbar and desktop should disappear.) Press ALT+TAB a few times until the window where the Trend Micro product or Housecall is selected. Scan your system with Trend Micro antivirus and clean all files detected as PE_PARITE.A and PE_PARITE.B. Restart your system. Press CTRL+ALT+DEL then click Shutdown. When prompted, restart your system. Wie du siehst, ist der Virus an sich ungefährlich, er verursacht eben "nur" Netzlast bei seiner Verbreitung. Die Entscheidung über das Vorgehen liegt natürlich bei Dir, ich jedenfalls würde es versuchen ... mfG Ralf Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 1. Oktober 2003 Melden Teilen Geschrieben 1. Oktober 2003 Da bleibt halt nur die Definition von "gefährlich"... Ein Programm, das alle möglichen .exe-Dateien und .scr-Dateien verändert, ein Virenscanner, der dann Programmveränderungen wegschneidet, aber der ja nicht weiß, wie der Binärcode vorher ausgesehen hat. Wie ich schon berichtete, bei mir hatte der Virus eine Neuinstallation zur Folge, wegen nicht mehr richtig arbeiten können. Aber wie du korrekt sagtest, die Entscheidung muss er selber treffen. grizzly999 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.