CaIvin 10 Geschrieben 15. April 2004 Melden Teilen Geschrieben 15. April 2004 Ich flippe noch aus. Der Rechner: WinXPSP1 und fast alle Patche. Welche fehlen kann ich nicht sagen, das Internet-Update auf sagt es fehlen noch welche, will es sie aber installieren klappt dies nicht. Und nun das, warum er mich so bedrückt. Sobald ich ihn an das Internet anstöpsele geht eine der vielen svchost.exe ganz hoch im Verbrauch der CPU-Zeit. Es werden Pakete nach drausen geschickt, dass es nicht mehr feierlich ist :( Erst nur ein paar, dann sind wir bei neunzig und nach 30 Sekunden hat er schon 90000 Pakete versand :shock: Bevor ich den Stecker wieder rausgezogen habe, hab ich mit netstat mal geguggt, wohin die Verbindungen gehen: horta-pc139.ulb.ac.be:7000 und ideas02.mat.put.poznan.pl:7000 zuerst kommt ein SYN_GESENDET und dann nach nem Augenblick: HERGESTELLT Außerdem scannt dieser WindowsXPSP1-Rechner einige andere Rechner im gleichen Subnetz. Das nimmt dann soviel überhand, daß die gescannten Rechner keinen Port mehr ofen haben um z.B. eine Website zu öffnen!!! (dadurch ist es aufgefallen - einige PCs konnten nicht auf eine interne Website zugreifen) Problem: Gefunden auf dem Rechner: svehost.exe und evukjqk.exe! Soll ich der Registrierung glauben? Dort steht als Beschreibung der beiden Files irgendwas mit Windows-Update. Adaware hat nachi/welchi gefunden und gelöscht, Sophos sucht noch. Bis gleich ;) Ich melde mich nochmal! Greetz CaIvin edit: Sophos hat den Nachi gefunden im System Restore-Verzeichniss. Aber ich nehme mal an daß es dort keinen Schaden anrichten kann. Weitere Viren wurden nicht gefunden :eek: Ich weiss nicht was ich noch machen soll, so ein Dreck Zitieren Link zu diesem Kommentar
edv-olaf 10 Geschrieben 15. April 2004 Melden Teilen Geschrieben 15. April 2004 Hallo, was genau möchtest du jetzt wissen, ich kann dir da nicht folgen. Die Würmer sind runter, und jetzt? Grüße Olaf Zitieren Link zu diesem Kommentar
Saphire 10 Geschrieben 15. April 2004 Melden Teilen Geschrieben 15. April 2004 Ich hatte auch mal son scanner wurm. (ca 2 Minuten nach dem ich das erste Mal im inet war nach der Neuinstallation ~) Geh in den Taskmanager und kicke einzeln einen Prozess nach dem anderen, bis der Rechner aufhört ins Netz zu brüllen. Nimm dir aber wenn möglich nicht gleich kritsche Systemprozesse zur hand, von svchost solltest du beispielsweise Abstand halten, denn der Dient nur als Vermittler für den Wurm. Bei mir war es damals der Wurm wua-irgendwas.exe, der so getan hat, als ob er ein Teil von Windows-Update gewesen ist. Ansonsten kannst du den Rechner von einem sauberen System booten und auf Viren prüfen. Viel Glück ^^; Zitieren Link zu diesem Kommentar
Muelli 10 Geschrieben 15. April 2004 Melden Teilen Geschrieben 15. April 2004 Moin, was Saphire sagt, kenn ich auch. Gerade neuinstalliert, für WinUpdate ungeschützt ins Netz und schon hatte ich msblast drauf. Ganz ohne Besuch scheinheiliger Websites. Wenn Du nicht über einen Router gehst hilft nur ganz schnell ' ne Personal Firewall wie KERIO. Die blockt alle eingestellten Ports und listet Dir auch alle Programme, welche sich rausverbinden wollen. Weiterhin ist ein ständig upgedateter Virenscanner Pflicht. Optional ein Spywaresucher wie Ad-Aware kann auch nicht schaden. Und dann sollte Dein System wieder sauber sein. Gruß Mülli Zitieren Link zu diesem Kommentar
CaIvin 10 Geschrieben 16. April 2004 Autor Melden Teilen Geschrieben 16. April 2004 Hi. Hatte schon gedacht es liest niemand mehr ;) Danke für eure Antworten! Das mit dem Tarnen als Windows-Update sehe ich auch so. Nur hab ich irgendwie gar nicht die Möglichkeit den zu entfernen. Alle Prozesse sind aus, ich hab alles an Patches installiert, was ging und der PC scheint ruhig zu sein. Kaum hängt das Ding wieder am Netz fängt es wieder an. Ich werde heute mal testweise ServicePack2 installieren und mal shcauen ob dann endlich alle Löcher zu sind. So ein Dreck aber auch :( Trotzdem vielen Dank :) Achja, hier nochmal die Dateien die am Meisten auffiehlen: Wmiprvse32.exe Regsvs.exe Svrhost32.exe Natürlich auch in sämtlichen Auto-Start-Möglichkeiten versteckt :mad: ! Wir nehmen jetzt an (also der OberAdmin und ich) daß es sich um was neues handelt. Aber wenn Saphire sagt daß er was ähnliches hatte, auch mit Tarnen als Win-Updt, dann frag ich mich: wie heißt das Ding? Gruß CaIvin Zitieren Link zu diesem Kommentar
edv-olaf 10 Geschrieben 16. April 2004 Melden Teilen Geschrieben 16. April 2004 Wieso sagst du, es liest keiner mehr? Ich warte länger auf deine Antwort, als du auf alle anderen zusammen :( Ich weiss immer noch nicht, was du genau gegen deinen vermeintlichen Wurm/Trojaner getan hast. SOlange du die Frage nicht beantwortest, weiss ich nicht genau, welche Probleme dein PC hat. Die Programme, die du aufgeführt hast, gibt es alle nicht. Wmiprvse32.exe (nie gehört) Regsvs.exe (heisst, wenn überhaupt regsrv.exe) Svrhost32.exe (heisst, wenn überhaupt svchost.exe) Schon mal gelesen? http://www.mcseboard.de/showthread.php?s=&threadid=30691 Grüße Olaf Zitieren Link zu diesem Kommentar
CaIvin 10 Geschrieben 16. April 2004 Autor Melden Teilen Geschrieben 16. April 2004 Sorry. Ich hab das Problem gelöst, indem ich alle verdächtigen (obengenannten) Dateien und Einträge die sich auf diese bezogen gelöscht hatte. Natürlich nachdem ich alle wesentlichen Patches installiert hatte. Zuvor hab ich ne Firewall installiert, die das merkwürdige Verhalten blockte. Es wollte aber keines der verdächtigen Tools durch die Firewall. Als hätten sie gewusst das ne Firewall an ist und um nicht entdeckt zu werden haben sie sich still verhalten. Als ich die Firewall ausgeschaltet hatte ging das Spektakel weiter. Also zu den Dateien: Sehr wohl gibt es eine Wmiprvse32.exe , sie kommt mit einem Patch des WindowsUpdates und befindet sich im Ordner %windir%\system32\wbem. Die Datei regsvs.exe gab es auf dem befallenen System. Auch wenn noch niemand davon gehört hat. Die Datei svrhost32.exe habe ich nicht selber gesehen sondern ein Kollege auf einem anderen Rechner. (der dieselben Probleme hatte wie der, den ich bearbeitet hatte). Des weiteren gab es auf meinem bearbeiteten System die Dateien svehost.exe und svshost.exe, die beide verdächtig nach svchost.exe kleingen. Möglicherweise um sie absichtlich offiziell erscheinen zu lassen :? Und nun die Brüllerdatei: evukjqk.exe Falls die offiziell zu Windows gehört, schäm ich mich jetzt schon für diese Aussage, aber die ist mit dem Namen doch mächtig verdächtig!!! Nunja, keine dieser Dateien wollte ins Internet connecten als ne Firewall lief. Doch als die Firewall aus war, hatte ein svchost-Prozess ruckzuck 100% CPU-Last und sendete und Empfang Unmengen Daten aus dem Netz. Aber jetzt ists Problem gelöst, alle Systeme konnten so gerettet werden: 0. Neustart ohne Netzverbindung! 1. Firewall drauf, die jegliche Zugriffe von innen nach aussen und aussen nach innen verhindert! 2. WindowsUpdates installieren. Entweder über windowsupdate.microsoft.com, oder Patch-Sammlungen (oder mit SP2 - hab ich testweise mal runtergeladen, man muß dann aber trotzdem noch mal auf windowsupdate.microsoft.com). Das System sollte auf m aktuellen Stand sein. Aber was red ich, iss hier sicher jedem klar ;). Ausserdem bitte keine freigaben mit zu einfachen Passwörtern! (einer der Rechner hatte Administrator ohne Passwort gelassen ... Dummheit!) 3. Jetzt wo alle Löcher zu sind dem Wurm an die Gurgel: Alle Tasks beenden, die einem nicht ganz geheuer sind. Dann die jeweiligen Files löschen und in derRegistrierung aus den "Run-" und den "RunService"-Schlüsseln die Verknüpfungen auf die jeweiligen Dateien löschen. 4. Möglicherweise nochmal mit msconfig guggen ob da noch irgendwas steht. 5. Neustart, fertig. Firewall kann draufgelassen oder entfernt werden. Wenn sie draufbleibt wird sie sicher viele "SYN"-Verbindungen entdecken, ist hier gehäuft so passiert. Es sind wohl auch noch jede Menge Rechner betroffen. Der Wurm kommt wohl über unzureichend gesicherte Freigaben und/oder über eine Lücke im RPC rein, die aber nach Aussage meines Kollegen mit dem 3. Blasterpatch von MS gestopft wurde (leider hab ich die KBnummer nicht - der Kollege ist heute nicht da :(). Falls noch Fragen bestehen, ich beantworte sie gerne. Gruß CaIvin Die Dtei svshost gehört zu einem Backdoor namens Digarix-B: http://www.sophos.de/virusinfo/analyses/trojdigarixb.html Zitieren Link zu diesem Kommentar
CaIvin 10 Geschrieben 20. April 2004 Autor Melden Teilen Geschrieben 20. April 2004 Ok: Hier die Erklärung: http://www.heise.de/security/news/meldung/46634 Hattet ihr den noch nicht? Hier ist lustigerweise die Hölle los. Ich hätte die gesamte Bandbreite des Uni-Netzes für mich alleine, wenn nicht dieser Wurm/Trojaner-Bot nicht alles dicht machen würde :( Nunja, Gruß an alle Windowspatcher und ein frühliches "Na dann gute Nacht!" an alle die ihr System auf dem Stand von SP1 haben ;) Gruß CaIvin PS: Bei Fragen zu dem Teil steh ich gerne zu Verfügung. Hab ihn schon 2 bis 3mal erfolgreich entfernt. Zitieren Link zu diesem Kommentar
BlackCat 10 Geschrieben 20. April 2004 Melden Teilen Geschrieben 20. April 2004 Kleiner Tip : Versuchts mal mit Panda Titanium Anti Virus... Sehr genialer Virus Scanner der bis dato noch alles gefangen hat , was meiner Kiste über den Weg lief. Nebenher sach ich da nur : Poooooooooortfiiiiiiiiiiiiiilter einrichten ^^ Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.