Absender: webmaster@repdata.de <webmaster@repdata.de>
Datum: 23.06.04 06:16
Empfänger: ############
Anlage(n): document_excel.pif (17 KB)
Betreff: Re: Excel file
Your file is attached.
Wurm-Alarm!
-
-
Zitat
Original von Walter
Hallo,
bekam heute wieder eine Wurmverseuchte Mail von RepData, also aufgepasst falls es Euch auch widerfahren sollte!
Habe es nicht geöffnet,sieht dann so aus:
Absender: webmaster@repdata.de <webmaster@repdata.de>
Datum: 23.06.04 06:16
Empfänger: ############
Anlage(n): document_excel.pif (17 KB)
Betreff: Re: Excel file
Your file is attached.Sorry,war nicht beabsichtigt,das mit dem Doppelposting
-
-
Setz doch mal den kompletten Mail-Header hier rein, dann kann man eventuell mehr sehen.
Gruß Gerd
-
Hallo Gerd,
habe den Mist leider schon kpl.gelöscht!
Walter -
Habe heute auch ne Mail erhalten von:
Return-Path: <info@mmsb.de>
Received: from demdwug7.mediaways.net ([62.52.27.55]) by
mail-store-04.cso.mediaways.net (Netscape Messaging Server 4.15)
with SMTP id HZUKY000.S2T for <leon2500534@compuserve.de>; Fri,
25 Jun 2004 06:39:36 +0200
Delivered-To: @demdwug7.mediaways.net:leon2500534@compuserve.de
Received: (qmail 8850 invoked by uid 4217); 25 Jun 2004 04:39:35 -0000
Received: from 0x50a0e14d.unknown.tele.dk (HELO compuserve.de) (80.160.225.77)
by mx2b.cso.mediaways.net with SMTP; 25 Jun 2004 04:39:35 -0000
From: info@mmsb.de
To: leon2500534@compuserve.de
Subject: Re: Your text
Date: Fri, 25 Jun 2004 06:31:30 +0200
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_0012_00002001.0000511B"
X-Priority: 3
X-MSMail-Priority: NormalThis is a multi-part message in MIME format.
------=_NextPart_000_0012_00002001.0000511B
Content-Type: text/plain;
charset="Windows-1252"
Content-Transfer-Encoding: 7bitHere is the file.
------=_NextPart_000_0012_00002001.0000511B
Content-Type: plain/text;
name="Norton AntiVirus gelöscht1.txt"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="Norton AntiVirus gelöscht1.txt"Tm9ydG9uIEFudGlWaXJ1cyBoYXQgZm9sZ2VuZGVuIEFuaGFuZyBlbnRmZXJudDogeW91cl90
ZXh0LnBpZi4NCkRlciBBbmhhbmcgIHdhciBtaXQgZGVtIFZpcnVzIFczMi5OZXRza3kuREBt
bSBpbmZpemllcnQu
------=_NextPart_000_0012_00002001.0000511B--Gruß
Lennox -
Hallo,
dann sollte wohl mal JEDER Forumsteilnehmer mal den Registrierungs-Schlüssel durch aufrufen von "Regedit" überprüfen.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ICQ Net" = "%windir%\winlogon.exe -stealth"
ist dieser Eintrag vorhanden ist Netsky.D auf den Rechner aktiv.
Und sollte durch ein aktuelles Virenprogramm z.B. hier vom System gelöscht werden.Aktueller Link zu dem Wurm siehe weiter oben...(nur Info's)
Gruß RepWurm
-
Hallo Repwurm,
zeigt bei mir:"ICQ Net" = C:\WININT\system32\dllcache\winlogon.exe -stealth"
Wurm oder nicht Wurm (Startlogo ?)
Norton findet nichts.ein verunsicherter Andreas
-
-
Hallo Andreas Josef
müßte wohl ein Treffer sein. Versuchs mal mit dem Stinger
http://www.zdnet.de/downloads/programs/q/z/de0DQZ-wc.html
Gruss
Hartmut -
Hallo,
Achtung: Die Datei WINLOGON.EXE ist nicht zu verwechseln mit der Originaldatei im SYSTEM32 Verzeichnis von Windows.
Gruß RepWurm
-
Hallo,
@all
um vor allen weiteren Angriffen aus dem Internet geschützt zu sein sollte man regelmäßig ein Windows Update ausführen.
Aber 100%ige Sicherheit gibt es nie.Gruß RepWurm
-
-
Servus Repwurm,
mache regelmäßig Windows update (WIN 2000)
Norton Antivirus und Firewall immer auf dem aktuellen Stand.
System mehrfach gescannt: Keine Würmer oder Viren auf dem PC !"ICQ Net" = C:\WININT\system32\dllcache\winlogon.exe -stealth"
Wurm oder nicht Wurm, daß ist hier die FrageGruß Andreas
-
Hallo Andreas,
hier die Beschreibung von BitDefender:
********************************************************
Symptoms:
Presence of the following file in Windows directory (%WINDIR%)
"winlogon.exe"Presence of the following entry in "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" registry key:
"ICQ Net" = "winlogon.exe -stealth"********************************************************
Dieser Eintrag sollte eigentlich nicht existieren:
ICQ Net = C:\WINNT\system32\dllcache\winlogon.exe -stealth
Auch dann nicht, wenn der Wurm existiert. Er würde sich dadurch ja auch gleich zu erkennen geben.
Wenn der Run Eintrag in der Registry fehlt, kann der Wurm auch nicht starten.
Ich mache mich aber noch einmal etwas schlauer. Sobald neue Erkenntnisse vorliegen melde ich mich wieder.
Schöne, hoffentlich, Virenfreie Zeiten.
Gruß
Erwin
-
Erwin, vielen Dank für deine Bemühungen.
Gruß Andreas -
Hallo,
ZitatWurm oder nicht Wurm, daß ist hier die Frage
Also ein Befall liegt oder lag vor, evtl sind "Reste" übriggeblieben"
Überprüfe, ob die Datei noch existiert C:\WINNT\system32\dllcache\winlogon.exe (hat da nix zu suchen -> LÖSCHEN).
Lösche den Eintrag in der Registry.
Und überprüfe nach einem Neustart des Rechners die Registry erneut.Ist der Eintrag wieder da, liegt noch immer ein Wurmbefall vor.
Gruß RepWurm
-
Hallo Repman,
der Eintrag erscheint, nach Neustart nicht mehr.
Gruß und Danke Andreas -
Hallo,
ZitatHallo Repman,
nicht zu verwechseln mit RepWurm©PS: Nur wo Al drauf ist ist auch RepWurm drin...
Gruß RepWurm
-