- Mitglied seit
- 11.08.2001
- Beiträge
- 2.818
- Reaktionen
- 65
Hmm, scheint als hätte ich nen IRC Wurm. Soeben kam folgende Nachricht urplötzlich auf meinen Screen:
Kann man das nun bedenkenlos ausführen, oder wie bekomme ich sonst den Wurm los? Mein Task-Manager geht btw wirklich nicht mehr...
Du siehst das hier, weil auf deinem PC eine Hintertür installiert wurde.
Die hast du dir irgendwie auf deinen Rechner geholt als
du auf einen ominösen Link (/rofl.txt, rofllogs/morgenlatte.jpg, www.lachschon-bilder oder p2p-sms )
geklickt hast.
Du fragst dich jetzt sicher wie der Text hier auf deinen Rechner kommt...
ich habe einen kleinen Designfehler im dem Ding ausgenutzt
um dir so zu helfen.
Hier nun also eine Anleitung wie du mit ein paar Handgriffen das Ding los wirst.
1. Da dein Taskmanager (strg+alt+entf) nicht mehr funktionieren dürfte, musst du dir
das folgende Freeware Tool runterladen: Process Explorer (Freeware!)
http://www.sysinternals.com/ntw2k/freeware/procexp.shtml
(Downloadlink ist am Ende der Seite)
2. Internetverbindung Trennen!!! So bist du erstmal sicher.
3. Entpacke das Programm irgendwohin und führe die Datei procexp.exe aus.
4. Du klickst in dem Programm auf den "Process" Header (Spaltenüberschrift) und
sortierst die Prozesse damit nach ihrem Namen.
5. Bei "S" siehst du nun mindestens 3 mal den Prozess "svchost.exe"
Dies ist ein wichtiger Systemprozess, was die Datei genau macht kann hier
nachgelesen werden: http://support.microsoft.com/default.aspx?scid=kb;de;314056
Dieser Prozess ist in /windows/system32 oder /winnt/system32 zu hause, aber definitiv
nicht im Verzeichnis /win*/system32/os2
6. Nun die "Path" Ansicht per Menü einschalten: View -> Select Columns -> Kreuz bei
"Image Path", dann ok.
7. Rechts auf "Path" schauen. System32\svchost.exe ist der Prozess von MS.
System32\Os2\svchost.exe ist die backdoor die nur 1x da ist.
8. Mit der rechten Maustaste auf die falsche svchost.exe klicken und "suspend"
auswählen.
9. _Eventuell_ ist da auch eine nav.exe (Dies ist nicht Norton Antivirus!) einfach
den Pfad überprüfen. Hier auch wieder mit der rechtrn Maustaste draufklicken und
"suspend" anklicken.
10. Nachdem nun alle suspended sind nochmal rechtsklick auf die 2 drauf und "kill"
anklicken
11. Da du den Prozess nun beendet hast, geh' nun in dein Windows Verzeichnis und dann
ins Verzeichnis "System32" hier findest du ein Verzeichnis mit Namen "OS2"
Dort findest du die Datei "svchost.exe" und evtl "nav.exe"
Schaut Dir an was die Datei für ein Symbol hat (Totenkopf oder Zipfile Symbol)
Lösche das Verzeichnis "OS2"
12. Nun müsst du den Autostart Eintrag entfernen:
Start -> Ausführen -> regedit
(Dies ist der Windows Registrierungseditor, alle Schlüssel sind hier in einer
Baumstruktur angeordnet.)
Falls dieser sich nicht starten lässt bist zu zusätzlich noch mit "SpyBot"
infiziert, der kann hier online entfernt werden:
http://security.symantec.com/ssc/vc_scan.asp?langid=ge&venid=sym&plfid=23
Klick dich bis hier hin durch.
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run
13. Wenn du den "run" ordner angeklickt hast siehst auf
der rechten Seite jede menge Zeugs.
Irgendwo da drinne steht eine Zeile die in etwa so aussieht:
I-Services "C:\Windows\System32\Os2\svchost.exe"
Diese (und nur diese) Zeile musst du löschen.
14. Da es sich der Trojaner wahrscheinlich bei dir installiert hat indem
er den Windows Media Player im Programme Order überschrieben hat,
musst du diesen eventuell auch löschen (nur die exe wenn er nicht von windows
automatisch wiederhergestellt wurde.
Der original MediaPlayer von WinXP (c:\Programme\Windows Media Player\wmplayer.exe) ^
ist ca. 508kb groß. Ist die Datei dort deutlich kleiner ist es vermutlich die Backdoor.
Es sei denn du hast den Media Player 9 installiert, der ist nur 72kb groß-
Wenn die .exe so ein schwarzes Icon/winzip icon hat ist der Fall eh klar, löschen!
wenn nicht:
Um sicherzugehen kannst du das recht einfach testen:
Klick doppelt Drauf und schau ob sich der Mediaplayer öffnet, wenn nicht musst du
die Schritte oben leider wiederholen.
Eventuell funkt auch die WinXP Systemwiederherstellung dazwischen
und stellt die Backdoor wieder her, die musst du falls das der Fall
ist vorher abschalten.
Viele der user meinten dass sie weiterhin den infizierten Link
verschickt haben. Anscheinend wurde noch ein script in euerem mirc
ordner abgelegt.
Datei müsste "worm.txt" heissen, und ganz unten in der mirc.ini
müsste ein Eintrag damit sein.
Beides entfernen (also nicht die mirc.ini, sondern den einen eintrag).
Ausführliche info hier: http://www.eggdrop.ch/texts/ircwurm/index.htm
Da du dir das Teil per Internet Explorer eingefangen hast,
und das beim klicken auf einen Link wieder passieren kann:
Hier mal ein sicherer Browser (ja, kostenlos, spywarefrei etc ist er auch):
http://www.mozilla.org/projects/firebird
Hier noch nen gratis Antivirus Proggi, die sind inzwischen so
weit sind dass sie das Teil erkennen, die aktuelle Version der Backdoor
sollte mit dem Update das am Freitagabend oder Samstag rauskommt erkannt werden:
http://www.free-av.de/
Es macht allgemein diesen Virenscanner durchlaufen zu lassen
da viele mit mehr als nur diesem einen infiziert sind.
Hier noch nen topic zum thema (irgendwo mittendrin isses auch deutsch):
http://www.quakenet.org/phpBB2/viewtopic.php?t=4115
Weitere Fragen:
Falls du gerade auf irc.quakenet.org bist: /join #hilfe.zur.selbsthilfe
Da sammel ich (ex)infizierte damit die sich gegenseitig helfen können.
Falls das gerade nicht der Fall ist: Mail an: drones.20.chromix@spamgourmet.com
So... ich hoffe das hat geholfen.
Achja, C:\drone.txt kannst du auch löschen wenn du sie nicht mehr brauchst,
ist dieser Text ;-)
PS: Vielen dank an Gilly für die "saubere" Version dieser Textdatei,
mein alter (zu oft aktualisierter) Text hängt nochmal unten an,
falls da noch etwas zu finden sein sollte was hier nicht stand.
Kann man das nun bedenkenlos ausführen, oder wie bekomme ich sonst den Wurm los? Mein Task-Manager geht btw wirklich nicht mehr...
