Supportnet / Forum / BS-Sonstige
wurm immer noch oder immer wieder nach löschen in DOS?
Frage
An Alle DOS-Kenner:
Ist es denkbar, dass sich ein bereits gelöschter "wurm" (bat-Datei)z.B. über irgendeine bisher unentdeckte Tür im Internet-Explorer immer wieder in DOS einhängt???
Oder kann das Teil in mehreren DOS-Bereichen stecken???
An diesem Problem sind schon Techniker der Firmenkette PC-Spezialist gescheitert,die haben sogar eine neue Festplatte eingebaut, aber es fertiggebracht, das Ding mit rüberzunehmen, oder es kommt eben immer wieder neu. Das ist eben die Frage!
Gruß, Michael
Antwort 1 von Casa
Hi Maikel100,
ich weiß zwar nicht was du für ein BS hast, aber vielleicht hilft Dir Antwot 3 weiter.
m.f.G.
Casa :-))
ich weiß zwar nicht was du für ein BS hast, aber vielleicht hilft Dir Antwot 3 weiter.
m.f.G.
Casa :-))
Antwort 2 von Rodi
Hi.
Ich schliesse aus Deiner Frage, dass es sich eigentlich um einen Windows PC handelt und der Löschvorgang in DOS Umgebung durchgeführt wurde.
In dem Fall kann ich ganz klar sagen: Nein! Das ist nicht möglich.
ABER: Der Virus wurde nicht vollständig gelöscht. Gängige Würmer tragen sich selber in die Registry von Windows ein und können darum immer wieder auftauchen, bis ihre Einträge aus der Registrys gelöscht wurden. RESTLOS.
Ferner können Viren natürlich auch in mehreren Dateien auf der Festplatte existieren, weswegen das Löschen einer einzelnen dieser Dateien keinen Erfolg bringen würde.
Heftiger wären Viren der alten DOS Generation. Damit meine ich Trojaner, TSR-, Stealth- und Bootsektorviren. Trojaner kann man meistens einfach löschen. Die anderen genannten Typen bekommt man nur mit einer guten Virensoftware oder einer kompletten (sauberen!) Löschung der Platte weg. Da gibt es viele Regeln zu beachten.
Wenn nur eine nicht beachtet wird, kann man unter Umständen den Virus nicht entfernen.
Ein paar weiteren Infos wären hilfreich.
Gruss,
Dirk
Ich schliesse aus Deiner Frage, dass es sich eigentlich um einen Windows PC handelt und der Löschvorgang in DOS Umgebung durchgeführt wurde.
In dem Fall kann ich ganz klar sagen: Nein! Das ist nicht möglich.
ABER: Der Virus wurde nicht vollständig gelöscht. Gängige Würmer tragen sich selber in die Registry von Windows ein und können darum immer wieder auftauchen, bis ihre Einträge aus der Registrys gelöscht wurden. RESTLOS.
Ferner können Viren natürlich auch in mehreren Dateien auf der Festplatte existieren, weswegen das Löschen einer einzelnen dieser Dateien keinen Erfolg bringen würde.
Heftiger wären Viren der alten DOS Generation. Damit meine ich Trojaner, TSR-, Stealth- und Bootsektorviren. Trojaner kann man meistens einfach löschen. Die anderen genannten Typen bekommt man nur mit einer guten Virensoftware oder einer kompletten (sauberen!) Löschung der Platte weg. Da gibt es viele Regeln zu beachten.
Wenn nur eine nicht beachtet wird, kann man unter Umständen den Virus nicht entfernen.
Ein paar weiteren Infos wären hilfreich.
Gruss,
Dirk
Antwort 3 von maikel100
Hallo Dirk,
danke für deine ausführliche Antwort.
weitere Infos: es ist ein Rechner mit WIN98SE auf den mehrere Menschen Zugriff haben. Die Besitzerin vermutete, dass davon jemand eigentlich unerlaubterweise surfte.Sie hatte das Teil bei "PC-SPezialist" in Reparatur, die unter anderem eine neue Festplatte eingebaut haben, weil die alte angeblich an sich defekt war.Ich weiss nicht, wie die mit der Software umgegangen sind, darüber steht nichts in der Rechnung. Ich wurde erst danach mit der Lösung des Problems beauftragt, weil der wurm danach immer noch aktiv war.
Mit meinen Kenntnissen habe ich:
1.alle entsprechenden einträge im Autostart-Bereich deaktiviert. Hat nichts gebracht, hat sich immer wieder neu eingetragen.
2. Mit Startup Manager 1.5 die entsprechenden Einträge nicht nur deaktiviert, sondern gelöscht. Dassselbe wie vorher(das ganze mehrfach gemacht)
3. Sowohl den alten Internet-Explorer, als auch die t-online Zugangssoftware komplett per Norton Utilities gelöscht und neu installiert. Hat nichts gebracht.
4. eine benutzerdefinierte Verbindung eingerichtet, um die t-online-software zu umgehen, hat nichts gebracht.
5. per DOS-editor eine Datei gefunden, in der run=... für alle die bekannten aber unerwünschten Programme/Dateien vorhanden war, als erste zeile über Einträgen zu einem hp-laserdrucker, der schon lange nicht mehr an den Rechner angeschlossen ist.
6. Erst nur die run=...-Zeile gelöscht, dann den gesamten Inhalt der Datei(allerdings noch nicht die leere "Hülle", die "toma!!!" heißt.Die Befehlszeile lautete: run=C:\WINDOWS\SRV32.EXE,c:\windows\instit.bat,c:\windows\marco!.scr,c:\windows\scrsvr.exe,c:\windows\alevir.exe,c:\windows\Brasil.pif,c:\windows\Brasil.exe,c:\windows\puta!!.com,c:\windows\speedy.scr,c:\windows\speedy.pif,c:\windows\speedy.bat
(Original-Schreibweise der Groß-Klein-Buchstaben dort)
Nach weiteren auffälligen Einträgen in DOS zu suchen ist geplant, aber noch nicht durchgeführt.
Gruß, Michael
danke für deine ausführliche Antwort.
weitere Infos: es ist ein Rechner mit WIN98SE auf den mehrere Menschen Zugriff haben. Die Besitzerin vermutete, dass davon jemand eigentlich unerlaubterweise surfte.Sie hatte das Teil bei "PC-SPezialist" in Reparatur, die unter anderem eine neue Festplatte eingebaut haben, weil die alte angeblich an sich defekt war.Ich weiss nicht, wie die mit der Software umgegangen sind, darüber steht nichts in der Rechnung. Ich wurde erst danach mit der Lösung des Problems beauftragt, weil der wurm danach immer noch aktiv war.
Mit meinen Kenntnissen habe ich:
1.alle entsprechenden einträge im Autostart-Bereich deaktiviert. Hat nichts gebracht, hat sich immer wieder neu eingetragen.
2. Mit Startup Manager 1.5 die entsprechenden Einträge nicht nur deaktiviert, sondern gelöscht. Dassselbe wie vorher(das ganze mehrfach gemacht)
3. Sowohl den alten Internet-Explorer, als auch die t-online Zugangssoftware komplett per Norton Utilities gelöscht und neu installiert. Hat nichts gebracht.
4. eine benutzerdefinierte Verbindung eingerichtet, um die t-online-software zu umgehen, hat nichts gebracht.
5. per DOS-editor eine Datei gefunden, in der run=... für alle die bekannten aber unerwünschten Programme/Dateien vorhanden war, als erste zeile über Einträgen zu einem hp-laserdrucker, der schon lange nicht mehr an den Rechner angeschlossen ist.
6. Erst nur die run=...-Zeile gelöscht, dann den gesamten Inhalt der Datei(allerdings noch nicht die leere "Hülle", die "toma!!!" heißt.Die Befehlszeile lautete: run=C:\WINDOWS\SRV32.EXE,c:\windows\instit.bat,c:\windows\marco!.scr,c:\windows\scrsvr.exe,c:\windows\alevir.exe,c:\windows\Brasil.pif,c:\windows\Brasil.exe,c:\windows\puta!!.com,c:\windows\speedy.scr,c:\windows\speedy.pif,c:\windows\speedy.bat
(Original-Schreibweise der Groß-Klein-Buchstaben dort)
Nach weiteren auffälligen Einträgen in DOS zu suchen ist geplant, aber noch nicht durchgeführt.
Gruß, Michael
Antwort 4 von tomman
Wenn dein Windows noch geht hohle dir „ BC wipe V2,28 „ findest du hierhttp://www.procompsys.de/index2.htm.
Nach der Installation hast du ein extra Befehl „ Delete with Wiping „ in Kontextmenü ( rechte Maustaste ) mit den Befehl kannst du alle Ordner oder Dateien löschen ( sie werden gelöscht und mit 0 Werten überschreiben ) selbst Dateien die von Windows angeblich gelöscht wurden aber denn noch dar sind werden jetzt mit gelöscht auch wenn sie nicht angezeigt wurden .
Hatte schon gute Ergebnisse zum Beispiel ein 1 MB großer Ordner laut Windows entpupte nach Löschen und Überschreiben mit BC wipe sich als 32 MB Ordner zu fiel Müll war dar schon drin .
Wenn du aber im Dos löschen willst dann benutze nicht Del oder so sonder Deltree
Del gibt nur wie Windows den Speicherplatz frei löscht aber die Datei nicht
Deltree löscht die Datei und Überschreibt sie mit 0
Achtung Deltree ist nicht auf die Win98 Bootdiskette musst du erst von C:\WINDOWS\COMMAND\Deltree auf die Diskette rüber Kopieren
Verleiht hilft es dir weiter
Nach der Installation hast du ein extra Befehl „ Delete with Wiping „ in Kontextmenü ( rechte Maustaste ) mit den Befehl kannst du alle Ordner oder Dateien löschen ( sie werden gelöscht und mit 0 Werten überschreiben ) selbst Dateien die von Windows angeblich gelöscht wurden aber denn noch dar sind werden jetzt mit gelöscht auch wenn sie nicht angezeigt wurden .
Hatte schon gute Ergebnisse zum Beispiel ein 1 MB großer Ordner laut Windows entpupte nach Löschen und Überschreiben mit BC wipe sich als 32 MB Ordner zu fiel Müll war dar schon drin .
Wenn du aber im Dos löschen willst dann benutze nicht Del oder so sonder Deltree
Del gibt nur wie Windows den Speicherplatz frei löscht aber die Datei nicht
Deltree löscht die Datei und Überschreibt sie mit 0
Achtung Deltree ist nicht auf die Win98 Bootdiskette musst du erst von C:\WINDOWS\COMMAND\Deltree auf die Diskette rüber Kopieren
Verleiht hilft es dir weiter
Antwort 5 von Rodi
Hi Michael.
Erstelle bitte auf einem garantiert virenfreien Rechner eine Bootfähige CD/Diskette. Diese muss eine voll funktionsfähige DOS Version enthalten, die keinerlei Zugriffe auf eine Festplatte durchführt! Entsprechende Bootdisketten kann man sich selber erstellen (siehe hier) oder im Internet herunterladen. Wichtig ist, dass ein CDRom in jedem Fall unterstützt wird.
Zusätzlich kopierst Du Dir einen aus DOS lauffähigen Virenscanner auf eine CD. Leider sind die meisten mittlerweile so gross, dass sie nicht mehr auf Diskette passen.
Scanner die das können sind: F-Prot und Free-AV (CMD Version). Ich persönlich arbeite gerne mit F-Prot.
Scanne anschliessend den Rechner auf Viren.
Ist auf File Ebene alles gelöscht, dann starte Windows im abgesicherten Modus. Lasse hier einen Virenscan drüberlaufen mit einem Windows Programm. Da empfehle ich Dir Free-AV, weil man eine aktuelle Virensignatur auch als Datei reinkopieren kann, ohne eine Verbindung ins Internet aufbauen zu müssen.
Sollten alle Vireneinträge wieder da sein, dann sind noch entsprechende Einträge in der Registry vorhanden.
Besorge Dir dann von: www.symantec.com
Infos zu diesem Virus. Dort steht auch welche Einträge vom Virus in der Registry vorgenommen werden.
Dann gilt zu aller Erst: Registry bereinigen und anschliessend noch einmal aus DOS bereinigen.
Ich mache es deswegen so kompliziert, weil ich keinerlei Ahnung habe was für ein Virentyp es ist.
Ich hoffe das hilft weiter. ;)
Gruss @all,
Dirk
Erstelle bitte auf einem garantiert virenfreien Rechner eine Bootfähige CD/Diskette. Diese muss eine voll funktionsfähige DOS Version enthalten, die keinerlei Zugriffe auf eine Festplatte durchführt! Entsprechende Bootdisketten kann man sich selber erstellen (siehe hier) oder im Internet herunterladen. Wichtig ist, dass ein CDRom in jedem Fall unterstützt wird.
Zusätzlich kopierst Du Dir einen aus DOS lauffähigen Virenscanner auf eine CD. Leider sind die meisten mittlerweile so gross, dass sie nicht mehr auf Diskette passen.
Scanner die das können sind: F-Prot und Free-AV (CMD Version). Ich persönlich arbeite gerne mit F-Prot.
Scanne anschliessend den Rechner auf Viren.
Ist auf File Ebene alles gelöscht, dann starte Windows im abgesicherten Modus. Lasse hier einen Virenscan drüberlaufen mit einem Windows Programm. Da empfehle ich Dir Free-AV, weil man eine aktuelle Virensignatur auch als Datei reinkopieren kann, ohne eine Verbindung ins Internet aufbauen zu müssen.
Sollten alle Vireneinträge wieder da sein, dann sind noch entsprechende Einträge in der Registry vorhanden.
Besorge Dir dann von: www.symantec.com
Infos zu diesem Virus. Dort steht auch welche Einträge vom Virus in der Registry vorgenommen werden.
Dann gilt zu aller Erst: Registry bereinigen und anschliessend noch einmal aus DOS bereinigen.
Ich mache es deswegen so kompliziert, weil ich keinerlei Ahnung habe was für ein Virentyp es ist.
Ich hoffe das hilft weiter. ;)
Gruss @all,
Dirk
Antwort 6 von maikel100
Erstamal, wenn auch ein bißchen spät, danke für alle Antworten.
Erst morgen, 19.11. kann ich an dem Problem weiterbasteln, denn es ist ja (gottseidank) nicht auf meinem Rechner.
Ich habe vor, dann wieder Rückmeldung zu geben, wie's gelaufen ist.
Gruß, maikel100
Erst morgen, 19.11. kann ich an dem Problem weiterbasteln, denn es ist ja (gottseidank) nicht auf meinem Rechner.
Ich habe vor, dann wieder Rückmeldung zu geben, wie's gelaufen ist.
Gruß, maikel100
Antwort 7 von Traumtaenzer
Nur eine kleine Korrektur:
Was tomman schrieb ("Deltree löscht die Datei und Überschreibt sie mit 0"), ist natürlich Humbug.
DELTREE löscht auf die gleiche Weise wie DEL (nur eben ganze Verzeichnisbäume incl. Dateien möglich). Überschrieben wird da nix.
mfg, Traumtänzer
Was tomman schrieb ("Deltree löscht die Datei und Überschreibt sie mit 0"), ist natürlich Humbug.
DELTREE löscht auf die gleiche Weise wie DEL (nur eben ganze Verzeichnisbäume incl. Dateien möglich). Überschrieben wird da nix.
mfg, Traumtänzer
Antwort 8 von maikel100
Die letzte Antwort auf die Frage nach dem Wurm in DOS! (Dafür ist sie umso länger)
Die Lösung ist da!
Intensives Surfen brachte endlich die Information, dass dieses üble Teil durch offene Ports immer wieder in den Rechner eindringt und sich immer wieder NEU z.B. in die win.ini einschreibt. die Vermutung, dass das Teil aus dem Internet kommt war also die ganze Zeit richtig.
Das Ergebnis in Kurzform:
Wenn man keinen Anknüpfungspunkt für ihn mehr auf dem eigenen Rechner hat und alle Ports gegen unerwünschtes Eindringen abgesichert sind, hat der Wurm hat keine Chance mehr!
Der Aufwand, den ich vor dem Schliessen des offenen Ports betrieben hatte, war insofern nicht umsonst, da dadurch absolut gewährleistet ist, dass keine alten Reste vom Wurm mehr auf der Festplatte sind.
Nun Konkret:
Das Problem war:
der Wurm „W32.Opaserv“ - den es mit verschiedenen Erweiterungen von Opaserv.A bis Opaserv.K gibt, und der auch unter dem Namen Brasil! Unterwegs ist - schrieb sich in meinem Fall immer wieder in die zweite Zeile der win.ini ein, mit einer endlos langen Befehlsfolge. (in cm ausgedrückt über 40 cm, kein Witz!).
Der exe-Dateiname von ihm ist „scrsvr.exe“. (sieht als Tarnung nach einer Abkürzung von „screensaver“ aus).
Er tauchte immer nur auf, wenn man online war.
Die meisten Namen der Befehle waren spanische Schimpfwörter wie puta!! Z cava! (Kuh) podre!! (Eiter) und Ähnliches. Aber auch Namen wie „instit.bat“ kamen vor. Die Dateiendungen sind .scr, .pif, .bat, .com, .exe .
Da jeder Teilbefehl erfolgreich von Norton Antivirus abgefangen wurde, entstand kein WIRKLICH großer Schaden auf dem Rechner (Drucker-Treiber-Probleme, Probleme beim Importieren und Exportieren von e-mails, -Konten und Adressbuchdateien von und nach outlook-express und einige „Kleinigkeiten“ mehr, wie Verzögern des Seitenaufbaus und gelegentliche Abstürze, sowie fehlerhaftes Herunterfahren), aber die ständig auflaufenden Fenster mit den Abfang-Meldungen von Norton störten das Arbeiten am Rechner gewaltig! Teilweise liefen die im DOS-Format auf, so dass der ganze Bildschirm voll war.
Die Recherchen ergaben, dass das Teil echt großen Schaden anrichten kann, wenn es nicht durch ein Virenschutzprogramm abgefangen wird.
Was Alles scheinbar zunächst nicht half, im Endeffekt aber doch nützlich und notwendig war:
1. Löschen aller Dateien mit den von Norton identifizierten Namen auf Windows-ebene.
2. Löschen der unerwünschten Einträge per editor in DOS aus der win.ini.
3. Suchen und Löschen ganzer unerwünschter Dateien auf DOS-Ebene.
4. Entfernen aller Einträge dazu aus dem Autostart-Bereich.
5. Entfernen aller Einträge dazu manuell aus der Registrierung.
6. Komplettes Deinstallieren und Neuinstallieren aller Internet-Zugangssoftware.
7. Verändern der Netzwerkeinstellungen bezüglich Freigabe, um sicher zu sein, dass die Quelle nicht vielleicht im Netzwerk woanders war.
8. Updaten der Antivirtensoftware.
9. Online-Prüfung auf Würmer und Trojaner brachte nichts, weil – obwohl die alle angeblich das Beste bieten – nur bis zur Version Opaserv.F prüften, hier aber Opaserv.H bis K zugange war.
10. Selbst die Norton-Werkzeuge mit den neuesten Virusdefinitionen fanden ihn bei der Systemprüfung nicht, denn: Immer wenn er aktiv war, fingen sie ihn ab und isolierten seine Teile. Da erkannten sie ihn schon. Anschließend war er ja in Quarantäne, da fanden sie im System nichts. Sein Trick war: Er schrieb immer erstmal den Befehl „run=“ in die zweite Zeile der win.ini und wartete ab. Dieser Eintrag allein wurde nicht als Bedrohung erkannt. Später dann fügte er die Befehlsfolge dazu, die von Norton erkannt und bekämpft wurde.
11. So konnte man eine schöne Zeit damit verbringen, die unerwünschten Teile immer wieder zu löschen. Sogar mit dem Tool „bcwipe“, das die gelöschten Bereiche gleich überschreibt, war keine Abhilfe zu erreichen. Der Wurm kam immer wieder............
12. Die Prüfung der Boot-Sektoren ergab gottseidank keinen Befall dort. (In diesem und in Fällen wo der Wurm geößeren Schaden hinterlassen hat, würde nur das komplette Neu-Aufziehen der Festplatte helfen PLUS das, was jetzt kommt!)
Nun denn:
Endlich- eines schönen Tages – fand ich einen Link zu einer website auf der beschrieben war, wie das Teil vom Internet auf den Rechner kommt. (Die allererste Ursache bleibt unklar, möglicherweise wirklich „nur“ böswilliges Einhacken in Rechner anderer Leute).
Ab da war es nur noch eine Frage von ein paar Stunden bis zur Lösung!
WAS zu tun war, war nun klar. WIE das war bald auch klar. Das Ganze gemacht – wobei man die Anleitung schon mit eigener Logik und eigenem Wissen auf die Verhältnisse auf dem Rechner, um den es geht, umdeuten muss – und siehe da: Der Wurm muss draußen bleiben!!!
Er schlängelt sich jetzt vor meinen ports und ist sauer, weil er draußen in der Kälte bleiben muss! Yes! Gewonnen!
Und jetzt die Seiten dazu, über die ich die Lösung hinbekam ( da die Internet-Protokoll-Einstellungen von Rechner zu Rechner sehr verschieden sein können, benenne ich keine weiteren Details aus „meiner“ Situation, man muss die Sachen von dort schon auf die eigene Lage anpassen.):
1.http://www.pctip.ch/helpdesk/kummerkasten/archiv/viren/23566.asp
Macht das, was da steht, macht Alles was ich oben beschrieben habe und schließt eure ports, dann habt ihr die wirklich verläßliche Lösung!
2. http://www.pro-support.de/ps1.pl?read=423
zeigt euch, wie’s Andern damit ging und wie sie Erfolg hatten.
3. http://securityresponse1.symantec.com/sarc/sarc-intl.nsf/html/de-w32.opaserv.worm.html
ladet auf jeden Fall auch das Patch von Microsoft herunter und installiert es. Wenn Symantec es so dringend empfiehlt, wird es wohl wirklich nötig sein.
4. http://www.port-scan.de
Laßt euch hierdurch das Tor auf eurem Rechner zeigen, durch das der Wurm geschlängelt kommt.
5. http://www.hacker-archiv.de/page/security/ports_137_139.html
Endlich mal eine klare Anleitung mit Bildern! – Achtung hier ist dennoch die eigene Logik gefragt, denn die meisten vorhandenen Protokolleinträge auf Rechnern sehen anders aus. Sucht solange das richtige Teil, bzw. die richtigen Teile unter NetBios -oder TCP/IP-Protokollen (es sind häufig mehrere, nicht nur eines wie in der Anleitung), bis ihr dieselbe Registerkarte öffnen könnt, wie sie in den letzten Schritten der Anleitung zu sehen ist. Ändert nichts Anderes, wenn ihr nicht genau wißt, was ihr tut! In meinem Fall hat das die Lösung gebracht.
Laßt anschließend eure Ports nochmals von Nr. 4 scannen.
Die auf dem Rechner, um den es ging, waren anschließend SO zu, dass die Anbieter der Seite sich fast schon beschwert haben, weil die nämlich ganz gerne Geld damit verdienen würden, wenn man das Port-Schließen von ihnen machen läßt, wenn man es selber nicht kann.
Anschließend habe ich das ganze gleich noch bei mir zu Hause als Vorsorge gemacht, mit gleich gutem Erfolg. Alles was funktionieren muss, funktioniert.
Gruß, maikel
Die Lösung ist da!
Intensives Surfen brachte endlich die Information, dass dieses üble Teil durch offene Ports immer wieder in den Rechner eindringt und sich immer wieder NEU z.B. in die win.ini einschreibt. die Vermutung, dass das Teil aus dem Internet kommt war also die ganze Zeit richtig.
Das Ergebnis in Kurzform:
Wenn man keinen Anknüpfungspunkt für ihn mehr auf dem eigenen Rechner hat und alle Ports gegen unerwünschtes Eindringen abgesichert sind, hat der Wurm hat keine Chance mehr!
Der Aufwand, den ich vor dem Schliessen des offenen Ports betrieben hatte, war insofern nicht umsonst, da dadurch absolut gewährleistet ist, dass keine alten Reste vom Wurm mehr auf der Festplatte sind.
Nun Konkret:
Das Problem war:
der Wurm „W32.Opaserv“ - den es mit verschiedenen Erweiterungen von Opaserv.A bis Opaserv.K gibt, und der auch unter dem Namen Brasil! Unterwegs ist - schrieb sich in meinem Fall immer wieder in die zweite Zeile der win.ini ein, mit einer endlos langen Befehlsfolge. (in cm ausgedrückt über 40 cm, kein Witz!).
Der exe-Dateiname von ihm ist „scrsvr.exe“. (sieht als Tarnung nach einer Abkürzung von „screensaver“ aus).
Er tauchte immer nur auf, wenn man online war.
Die meisten Namen der Befehle waren spanische Schimpfwörter wie puta!! Z cava! (Kuh) podre!! (Eiter) und Ähnliches. Aber auch Namen wie „instit.bat“ kamen vor. Die Dateiendungen sind .scr, .pif, .bat, .com, .exe .
Da jeder Teilbefehl erfolgreich von Norton Antivirus abgefangen wurde, entstand kein WIRKLICH großer Schaden auf dem Rechner (Drucker-Treiber-Probleme, Probleme beim Importieren und Exportieren von e-mails, -Konten und Adressbuchdateien von und nach outlook-express und einige „Kleinigkeiten“ mehr, wie Verzögern des Seitenaufbaus und gelegentliche Abstürze, sowie fehlerhaftes Herunterfahren), aber die ständig auflaufenden Fenster mit den Abfang-Meldungen von Norton störten das Arbeiten am Rechner gewaltig! Teilweise liefen die im DOS-Format auf, so dass der ganze Bildschirm voll war.
Die Recherchen ergaben, dass das Teil echt großen Schaden anrichten kann, wenn es nicht durch ein Virenschutzprogramm abgefangen wird.
Was Alles scheinbar zunächst nicht half, im Endeffekt aber doch nützlich und notwendig war:
1. Löschen aller Dateien mit den von Norton identifizierten Namen auf Windows-ebene.
2. Löschen der unerwünschten Einträge per editor in DOS aus der win.ini.
3. Suchen und Löschen ganzer unerwünschter Dateien auf DOS-Ebene.
4. Entfernen aller Einträge dazu aus dem Autostart-Bereich.
5. Entfernen aller Einträge dazu manuell aus der Registrierung.
6. Komplettes Deinstallieren und Neuinstallieren aller Internet-Zugangssoftware.
7. Verändern der Netzwerkeinstellungen bezüglich Freigabe, um sicher zu sein, dass die Quelle nicht vielleicht im Netzwerk woanders war.
8. Updaten der Antivirtensoftware.
9. Online-Prüfung auf Würmer und Trojaner brachte nichts, weil – obwohl die alle angeblich das Beste bieten – nur bis zur Version Opaserv.F prüften, hier aber Opaserv.H bis K zugange war.
10. Selbst die Norton-Werkzeuge mit den neuesten Virusdefinitionen fanden ihn bei der Systemprüfung nicht, denn: Immer wenn er aktiv war, fingen sie ihn ab und isolierten seine Teile. Da erkannten sie ihn schon. Anschließend war er ja in Quarantäne, da fanden sie im System nichts. Sein Trick war: Er schrieb immer erstmal den Befehl „run=“ in die zweite Zeile der win.ini und wartete ab. Dieser Eintrag allein wurde nicht als Bedrohung erkannt. Später dann fügte er die Befehlsfolge dazu, die von Norton erkannt und bekämpft wurde.
11. So konnte man eine schöne Zeit damit verbringen, die unerwünschten Teile immer wieder zu löschen. Sogar mit dem Tool „bcwipe“, das die gelöschten Bereiche gleich überschreibt, war keine Abhilfe zu erreichen. Der Wurm kam immer wieder............
12. Die Prüfung der Boot-Sektoren ergab gottseidank keinen Befall dort. (In diesem und in Fällen wo der Wurm geößeren Schaden hinterlassen hat, würde nur das komplette Neu-Aufziehen der Festplatte helfen PLUS das, was jetzt kommt!)
Nun denn:
Endlich- eines schönen Tages – fand ich einen Link zu einer website auf der beschrieben war, wie das Teil vom Internet auf den Rechner kommt. (Die allererste Ursache bleibt unklar, möglicherweise wirklich „nur“ böswilliges Einhacken in Rechner anderer Leute).
Ab da war es nur noch eine Frage von ein paar Stunden bis zur Lösung!
WAS zu tun war, war nun klar. WIE das war bald auch klar. Das Ganze gemacht – wobei man die Anleitung schon mit eigener Logik und eigenem Wissen auf die Verhältnisse auf dem Rechner, um den es geht, umdeuten muss – und siehe da: Der Wurm muss draußen bleiben!!!
Er schlängelt sich jetzt vor meinen ports und ist sauer, weil er draußen in der Kälte bleiben muss! Yes! Gewonnen!
Und jetzt die Seiten dazu, über die ich die Lösung hinbekam ( da die Internet-Protokoll-Einstellungen von Rechner zu Rechner sehr verschieden sein können, benenne ich keine weiteren Details aus „meiner“ Situation, man muss die Sachen von dort schon auf die eigene Lage anpassen.):
1.http://www.pctip.ch/helpdesk/kummerkasten/archiv/viren/23566.asp
Macht das, was da steht, macht Alles was ich oben beschrieben habe und schließt eure ports, dann habt ihr die wirklich verläßliche Lösung!
2. http://www.pro-support.de/ps1.pl?read=423
zeigt euch, wie’s Andern damit ging und wie sie Erfolg hatten.
3. http://securityresponse1.symantec.com/sarc/sarc-intl.nsf/html/de-w32.opaserv.worm.html
ladet auf jeden Fall auch das Patch von Microsoft herunter und installiert es. Wenn Symantec es so dringend empfiehlt, wird es wohl wirklich nötig sein.
4. http://www.port-scan.de
Laßt euch hierdurch das Tor auf eurem Rechner zeigen, durch das der Wurm geschlängelt kommt.
5. http://www.hacker-archiv.de/page/security/ports_137_139.html
Endlich mal eine klare Anleitung mit Bildern! – Achtung hier ist dennoch die eigene Logik gefragt, denn die meisten vorhandenen Protokolleinträge auf Rechnern sehen anders aus. Sucht solange das richtige Teil, bzw. die richtigen Teile unter NetBios -oder TCP/IP-Protokollen (es sind häufig mehrere, nicht nur eines wie in der Anleitung), bis ihr dieselbe Registerkarte öffnen könnt, wie sie in den letzten Schritten der Anleitung zu sehen ist. Ändert nichts Anderes, wenn ihr nicht genau wißt, was ihr tut! In meinem Fall hat das die Lösung gebracht.
Laßt anschließend eure Ports nochmals von Nr. 4 scannen.
Die auf dem Rechner, um den es ging, waren anschließend SO zu, dass die Anbieter der Seite sich fast schon beschwert haben, weil die nämlich ganz gerne Geld damit verdienen würden, wenn man das Port-Schließen von ihnen machen läßt, wenn man es selber nicht kann.
Anschließend habe ich das ganze gleich noch bei mir zu Hause als Vorsorge gemacht, mit gleich gutem Erfolg. Alles was funktionieren muss, funktioniert.
Gruß, maikel