Supportnet / Forum / WindowsXP
Worm/Duster.2
Frage
Habe den Worm Duster eingefangen.
Mein Antivirenprogram spielt verrückt.
Kann mir einer helfen?
mfg
mio
Antwort 1 von Mickey
"Copies itself to the following locations:
%Windows%\Temp\Dust.exe
%System%\Dust.exe
--------------------------------------------------------------------------------
Notes:
%Windir% is a variable. The worm locates the Windows installation folder (by default, this is C:\Windows or C:\Winnt) and copies itself to that location.
%System% is a variable. The worm locates the System folder and copies itself to that location. By default, this is C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), or C:\Windows\System32 (Windows XP).
--------------------------------------------------------------------------------
Scans the network, looking for any open Administrative shares. If found, the worm will copy itself over as C:\Dust.exe and amend the Autoexec.bat file so that it is executed on startup.
Modifies the following line of the [boot] section of the System.ini file:
Shell=Explorer.exe dust.exe
MCAfee"
Deaktiviere vorm Scannen deine Systemwiederherstellung.
Gruss,
Mic
Bei Eingriffen ins System, die Registry oder an Systemdateien erst eine Sicherung vornehmen!©
%Windows%\Temp\Dust.exe
%System%\Dust.exe
--------------------------------------------------------------------------------
Notes:
%Windir% is a variable. The worm locates the Windows installation folder (by default, this is C:\Windows or C:\Winnt) and copies itself to that location.
%System% is a variable. The worm locates the System folder and copies itself to that location. By default, this is C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), or C:\Windows\System32 (Windows XP).
--------------------------------------------------------------------------------
Scans the network, looking for any open Administrative shares. If found, the worm will copy itself over as C:\Dust.exe and amend the Autoexec.bat file so that it is executed on startup.
Modifies the following line of the [boot] section of the System.ini file:
Shell=Explorer.exe dust.exe
MCAfee"
Deaktiviere vorm Scannen deine Systemwiederherstellung.
Gruss,
Mic
Bei Eingriffen ins System, die Registry oder an Systemdateien erst eine Sicherung vornehmen!©
Antwort 2 von mio
Kann Leider nicht sogut englisch.
mfg
mio
mfg
mio
Antwort 3 von mio
Kann keiner mehr helfen?
mfg
mio
mfg
mio
Antwort 4 von WebSabine
Es folgt eine Anleitung zur manuellen Wurm-Entfernung:
Wenn Du in der system.ini nichts findest, dann durchsuch sicherheitshalber alle *.ini-Dateien nach "shell=" und "dust.exe".
Weiters ab in den Task-Manager. Prozesse durchschauen, falls ein dust.exe vorhanden: Prozess beenden.
Nun kann man vermutlich die Dateien %Windows%\Temp\Dust.exe loeschen. (Sicherheitshalber kannst Du ja noch das ganze Windows-Verzeichnis nach dust.exe durchsuchen und ggf. diese Dateien loeschen)
Damit sollte der Wurm (nehme ich an; den konkret hatte ich nie - letztens hab ich mir aber einen Swen eingefangen - der hat sich aber durch die exorbitante Festplattenaktivitaet [div. Dateien nach email-Adressen durchsucht] bereits verraten, bevor er noch wirklichen Schaden anrichten konnte [d.h. sich selbst verschickt] - ganz ohne Virenscanner) an sich deaktiviert sein.
Was noch vorhanden sein koennte: Erstens Autostarteintraege an div. Stellen (es kann sowieso nicht schaden, da einmal sowohl die Startup-Folder in den Startmenues als auch die Registry-Keys HKLM\Software\Microsoft\Windows\CurrentVersion\Run* und HKCU\Software\Microsoft\Windows\CurrentVersion\Run* durchzuschauen!) und zweitens ev. weitere vom Virus/Wurm angelegte Dateien - dafuer haelt man sich in erster Linie an Beschreibungen des Virus/Wurms, wie sie z.b. Symantec meist recht ausfuehrlich liefert.
In dem Fall also andere im Netzwerk befindliche Rechner pruefen, ob eine Datei C:\Dust.exe vorhanden ist, ggf. loeschen & autoexec.bat richten
Gruss
WebSabine
Wenn Du in der system.ini nichts findest, dann durchsuch sicherheitshalber alle *.ini-Dateien nach "shell=" und "dust.exe".
Weiters ab in den Task-Manager. Prozesse durchschauen, falls ein dust.exe vorhanden: Prozess beenden.
Nun kann man vermutlich die Dateien %Windows%\Temp\Dust.exe loeschen. (Sicherheitshalber kannst Du ja noch das ganze Windows-Verzeichnis nach dust.exe durchsuchen und ggf. diese Dateien loeschen)
Damit sollte der Wurm (nehme ich an; den konkret hatte ich nie - letztens hab ich mir aber einen Swen eingefangen - der hat sich aber durch die exorbitante Festplattenaktivitaet [div. Dateien nach email-Adressen durchsucht] bereits verraten, bevor er noch wirklichen Schaden anrichten konnte [d.h. sich selbst verschickt] - ganz ohne Virenscanner) an sich deaktiviert sein.
Was noch vorhanden sein koennte: Erstens Autostarteintraege an div. Stellen (es kann sowieso nicht schaden, da einmal sowohl die Startup-Folder in den Startmenues als auch die Registry-Keys HKLM\Software\Microsoft\Windows\CurrentVersion\Run* und HKCU\Software\Microsoft\Windows\CurrentVersion\Run* durchzuschauen!) und zweitens ev. weitere vom Virus/Wurm angelegte Dateien - dafuer haelt man sich in erster Linie an Beschreibungen des Virus/Wurms, wie sie z.b. Symantec meist recht ausfuehrlich liefert.
In dem Fall also andere im Netzwerk befindliche Rechner pruefen, ob eine Datei C:\Dust.exe vorhanden ist, ggf. loeschen & autoexec.bat richten
Gruss
WebSabine