Forum
Tipps
News
Menu-Icon

Win2000: Riesen Virus Problem

Hi,

ich hab ein Problem. Ich hab ne kleine *.exe dummerweise gestartet beim System aufraeumen weil ich sehen wollte was das is.

Die *.exe verschwand nach Doppelklick und mein erster Gedanke war "Virus.. sch...e".. dann hab ich in den FIrewall Monitor geschaut und dubiose IRC-Aktivitäten festgestellt von einer wupdates.exe (KEINE Systemdatei o.Ä.) in meinem system32 Verzeichnis und die unterbunden, desweitern führt die Applikation "System" ständig "Network Intrusions" durch. Ich kann die wupdates.exe nicht löschen, auch nicht in der EIngabeaufforderung. Der Taskmanager schliesst sich sofort nach Öffnen wieder, ebenso der Registrierungseditor. Ansonsten läuft aber alles normal.

Ich habe darauf mit der WIn98 Startdiskette gebootet im DOS und wollte die wupdates.exe SO löschen (die wupadtes.exe hat die zufaellgierweise die gleiche Groesse wie die dummerweise geklickte *.exe). Ich versuchte also unter C:\, wo mein WINNT Verzwichnis liegt und Windows installierst zu gehen.. mit der dir Befehl sehe ich aber, dass sich alle Partitionen und Laufwerke um eins im Alphabet nach vorne verschoben haben und ich so im DOS NICHT mehr auf mein Windows und Programmlaufwerk zugreifen kann. Keine Chance darauf zuzugreifen.

AntiVir hat keine Virus erkannt, auch bei einem Enzelscan der Datei nicht, nun vermute ich dass ich ein VERDAMMT ernstes Problem habe.

Vielen Dank im Voraus für jegliche Hilfe !
Ich brauche im Moment jede Hilfe die cih kriegen kann.

Gruß
Problemfall ^^



Antworten zu Win2000: Riesen Virus Problem:

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Hallo,

um eins nach vorne verschoben, heißt das C: ist jetzt B:  ??? ???

Wie ist die Platte formatiert FAT32 oder NTFS  ??? ???

Hab en paar neue Erkenntnisse.
Es ist vermutlich Blaster oder ne Variation.
Der Blaster-Fix von Symantec erkennt es ned.
Im DOS sehich C: nicht, weil es NTFS formatiert ist.
VOn den Festplatten her ist im DOS:
C = weg, da NTFS
D = C
E = D
und F = E
Das Ding (der Virus) kommuniziert wohl auf den Ports die MS auch für den Blasster angibt, also
TCP 139,445
UDP 135,137,138,445
Die Ports wechselb hin und her....
wupadtes.exe probierts im Moment auf Port 4383 oder 4456 TCP.. wechselt aber auch staendig
Den RPC Patch hier:

hab ich gerade heruntergeladen und installiert, muss jetzt neustarten.
Ich starte den PC nochmal neu nach dem Neustart und teste ob die die wupadtes.exe im Abgesicherten Modus löschen kann.

wupdates.exe is geloescht und es gibt keine Connections mehr zu IRC-Servern. Denke das is erledigt.
RPC Patch is installiert.
Bleibt nur noch eins...
Ich poste mal die Line die ständig kommt hierrein:

Count:1
Action:Monitored
Application:System
Access:Network intrusion report
Object:"CHAT IRC nick change" -> 205.210.145.2
Interface:
Time:12.11.2003 20:13:21

Count:1
Action:Monitored
Application:System
Access:Network intrusion report
Object:"CHAT IRC nick change" -> 207.69.200.132
Interface:
Time:12.11.2003 20:15:08


Die IP-Adressen variieren.
Ich benutze die Tiny Personal Firewall und die Logs sind aus dem Activity Monitor.

Ich hab mir zusammengereimt, dass sich irgendwas als "System" tarnt und dann versucht an IRC-Server irgendwelche Informationen zu senden, und deswegen woltle die inzwischen gelöschte wupdates.exe zu solchen connecten.
Warum es den Nick changen will (ich interpretier die Meldung malso...) hab ich aber keine Ahnung, auf jeden Fall trau ich mich nicht emhr mein mIRC anzumachen...

Wäre gut, wenn mich jemand aufklären könnte, was das Object:"CHAT IRC nick change" -> 207.69.200.132
soll...
:)
"System" macht noch andere Sachen aber die kommen von 192.168.1.1, also meinem Router...

Count:1
Action:Monitored
Application:System
Access:Network intrusion report
Object:"ICMP PING" <- 192.168.1.1
Interface:
Time:12.11.2003 20:17:28


Count:1
Action:Monitored
Application:System
Access:Network intrusion report
Object:"ICMP Echo Reply (Undefined Code!)" -> 192.168.1.1
Interface:
Time:12.11.2003 20:17:28


Ich denke die 2 Sachen sind Pings usw meines Routers.

Aber das CHAT IRC Dingens ist mit Sicherheit ned normal und war vorher auch nicht da.

Der Task Manager und die Regedit gehen wieder normal wie vorher seit ich die wupdates.exe im Safe Mode gelöscht hab.
Nur das CHAT Ding da irritiert mich noch.

Vielen Dank für eventuelle Aufklärung :D

In der Registry steht bzw. stand (ich hab den Key geloescht) unter
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
eine WUPDATES.EXE drinne als Winsock2 Driver..
hab das Ding geloescht.

Ansonten habich in der Registry nix mehr mit "wupdates" gefunden.

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

ja dann bist du das Ding ja hoffentlich los.  ;)

Jo, aber ich will wissen, was das war und was das:


Count:1
Action:Monitored
Application:System
Access:Network intrusion report
Object:"CHAT IRC nick change" -> 207.69.200.132
Interface:
Time:12.11.2003 20:15:08

zu bedeuten hat, bevor ich mein IRC anmach, nicht dass mein ick changed und ich zum exploit oder Virenverteiler werde.

Die Ports hab ich auch geblockt..
Die auf der MS Seite als kritisch angegeben wurden.


« Win2000: FotosWin NT: Problem bei Interneteinwahl »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Betriebssystem
Das Betriebssystem ist das Steuerungsprogramm des Computers, das als eines der ersten Programme beim Hochfahren des Rechners geladen wird. Arbeitsspeicher, Festplatten, E...

Binärsystem
Unter dem Begriff Binärsystem (oder Dualsystem) versteht man ein Zahlensystem, das lediglich zwei Zustände oder Werte kennt: Null (0) und Eins (1). Es bildet di...

Bus System
Ein Bus ist ein System zur Datenübertragung. Durch einen Bus können mehrere Teilnehmer über eine Leitung miteinander verbunden werden, ohne dabei an der Da...