Wurm-Alarm!



    Sorry,war nicht beabsichtigt,das mit dem Doppelposting :( :(

    Wir leben alle unter demselben Himmel,
    aber wir haben noch lange nicht alle denselben Horizont.

    Einmal editiert, zuletzt von Walter ()

    Habe heute auch ne Mail erhalten von:


    Return-Path: <info@mmsb.de>
    Received: from demdwug7.mediaways.net ([62.52.27.55]) by
    mail-store-04.cso.mediaways.net (Netscape Messaging Server 4.15)
    with SMTP id HZUKY000.S2T for <leon2500534@compuserve.de>; Fri,
    25 Jun 2004 06:39:36 +0200
    Delivered-To: @demdwug7.mediaways.net:leon2500534@compuserve.de
    Received: (qmail 8850 invoked by uid 4217); 25 Jun 2004 04:39:35 -0000
    Received: from 0x50a0e14d.unknown.tele.dk (HELO compuserve.de) (80.160.225.77)
    by mx2b.cso.mediaways.net with SMTP; 25 Jun 2004 04:39:35 -0000
    From: info@mmsb.de
    To: leon2500534@compuserve.de
    Subject: Re: Your text
    Date: Fri, 25 Jun 2004 06:31:30 +0200
    MIME-Version: 1.0
    Content-Type: multipart/mixed;
    boundary="----=_NextPart_000_0012_00002001.0000511B"
    X-Priority: 3
    X-MSMail-Priority: Normal


    This is a multi-part message in MIME format.


    ------=_NextPart_000_0012_00002001.0000511B
    Content-Type: text/plain;
    charset="Windows-1252"
    Content-Transfer-Encoding: 7bit


    Here is the file.


    ------=_NextPart_000_0012_00002001.0000511B
    Content-Type: plain/text;
    name="Norton AntiVirus gelöscht1.txt"
    Content-Transfer-Encoding: base64
    Content-Disposition: attachment;
    filename="Norton AntiVirus gelöscht1.txt"


    Tm9ydG9uIEFudGlWaXJ1cyBoYXQgZm9sZ2VuZGVuIEFuaGFuZyBlbnRmZXJudDogeW91cl90
    ZXh0LnBpZi4NCkRlciBBbmhhbmcgIHdhciBtaXQgZGVtIFZpcnVzIFczMi5OZXRza3kuREBt
    bSBpbmZpemllcnQu
    ------=_NextPart_000_0012_00002001.0000511B--


    Gruß
    Lennox

    Pioneer hat es geschafft, einen hervorragenden Plasmafernseher zu entwickeln, der kräftige und realistische Schwarzwerte liefert, lebhafte Farben und unglaublichen
    Detailreichtum. Filmfans, die ihr HD-Material abspielen wollen, wird dieser Fernseher den Atem rauben.
    Das schwärzeste nur vorstellbare Schwarz zu schaffen und damit einen Bildschirm mit der absolut besten Bildqualität in der Welt zu bauen, das war die Idee und die treibende Kraft bei der Entwicklung der KURO Flachbildschirme.

    Hallo,


    dann sollte wohl mal JEDER Forumsteilnehmer mal den Registrierungs-Schlüssel durch aufrufen von "Regedit" überprüfen.


    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]


    "ICQ Net" = "%windir%\winlogon.exe -stealth"


    ist dieser Eintrag vorhanden ist Netsky.D auf den Rechner aktiv.
    Und sollte durch ein aktuelles Virenprogramm z.B. hier vom System gelöscht werden.


    Aktueller Link zu dem Wurm siehe weiter oben...(nur Info's)



    Gruß RepWurm

    Hallo Andreas,


    scheint so das Dein Rechner infiziert ist.
    Möglichkeiten: 1. Update Virenscanner + Vollständigen Systemcheck
    2. schau mal hier nach, dort ist ein "Remover" zum download der Firma Symantec


    Viel Erfolg


    RepWurm

    Servus Repwurm,
    mache regelmäßig Windows update (WIN 2000)
    Norton Antivirus und Firewall immer auf dem aktuellen Stand.
    System mehrfach gescannt: Keine Würmer oder Viren auf dem PC !


    "ICQ Net" = C:\WININT\system32\dllcache\winlogon.exe -stealth"
    Wurm oder nicht Wurm, daß ist hier die Frage ?(


    Gruß Andreas

    Hallo Andreas,


    hier die Beschreibung von BitDefender:


    ********************************************************
    Symptoms:
    Presence of the following file in Windows directory (%WINDIR%)
    "winlogon.exe"


    Presence of the following entry in "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" registry key:
    "ICQ Net" = "winlogon.exe -stealth"


    ********************************************************


    Dieser Eintrag sollte eigentlich nicht existieren:


    ICQ Net = C:\WINNT\system32\dllcache\winlogon.exe -stealth


    Auch dann nicht, wenn der Wurm existiert. Er würde sich dadurch ja auch gleich zu erkennen geben.



    Wenn der Run Eintrag in der Registry fehlt, kann der Wurm auch nicht starten.


    Ich mache mich aber noch einmal etwas schlauer. Sobald neue Erkenntnisse vorliegen melde ich mich wieder.



    Schöne, hoffentlich, Virenfreie Zeiten.



    Gruß


    Erwin

    Wer es einmal so weit gebracht hat, dass er nicht mehr irrt, der hat auch zu arbeiten aufgehört. Max Planck 1858-1947

    Hallo,


    Zitat

    Wurm oder nicht Wurm, daß ist hier die Frage


    Also ein Befall liegt oder lag vor, evtl sind "Reste" übriggeblieben"


    Überprüfe, ob die Datei noch existiert C:\WINNT\system32\dllcache\winlogon.exe (hat da nix zu suchen -> LÖSCHEN).
    Lösche den Eintrag in der Registry.
    Und überprüfe nach einem Neustart des Rechners die Registry erneut.


    Ist der Eintrag wieder da, liegt noch immer ein Wurmbefall vor.


    Gruß RepWurm