Supportnet / Forum / PC-Sonstiges
Es hat mich wieder mal erwischt - Wer hat Infos zu Wurm Nachi B?
Frage
Hallo alle!
Vorhin jaulten plötzlich meine beiden Virenscanner (f-prot und Antivir) gleichzeitig auf, obwohl ich mich gerade erst an den Rechner gesetzt hatte und weder am sörfen war, noch irgendwelche Mails geöffnet hatte (frau ist ja lernfähig).
Und sie meldeten beide, dass der im Subject genannte Wurm an Bord sei. Habe versucht, die entsprechenden Dateien von AV ins Quarantäne-Verzeichnis verschieben zu lassen, was offenbar misslang. Anschließend ist AV dann noch ins Koma gefallen, obwohl im Systray noch mit Symbol vertreten.
In der Log-Datei von AV (nach Neustart wieder aufrufbar) steht folgendes
[quote]21.02.2004,13:23 [WARNUNG] Enthält Signatur des Wurmes Worm/Nachi.B.1!
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\4LUFS12V\WKSPATCH[1].EXE
Die Datei konnte nicht in das Quarantäneverzeichnis [FEHLER] verschoben werden!
0x00000020 - Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.[/quote]
Was will AV mir damit sagen? Und wie konnte der Wurm in diese IE-Dateien gelangen, obwohl ich den IE nur im SN-Chat benutze und sonst ausschließlich mit Opera surfe?
Na fein, gerade in diesem Moment melden wieder beide Scanner den Befall mit Nachi. Also ist f-prot auch an dem Wurm gescheitert. :-(
Ich konnte in den Datenbanken diverser AV-Produkte-Hersteller nichts über das Ungeziefer finden. Vielleicht weiß ja einer von euch, wie ich der Plage Herr werden kann.
THX im Voraus!
Svenja
Antwort 1 von Crash_Override
http://spotlight.de/nzforen/sec/m/sec-1077112564-17975.html
selbe frage mit erfolgreichen antworten (incl. patch)
selbe frage mit erfolgreichen antworten (incl. patch)
Antwort 2 von Lutz1965
Antwort 3 von StilleQuelle
Antwort 4 von Crash_Override
mal davon abgesehen wird der Worm/Nachi.B.1 schon in der letzten stinger-version von mcafee mit aufgelistet.
Antwort 5 von SvenjaK-Fanclub
Ach Svenja, es wurde ja mal langsam wieder Zeit *gg*.
--> runterladen, ausführen, scannen -> wieder melden :-)
http://download.nai.com/products/mcafee-avert/stinger.exe
--> runterladen, ausführen, scannen -> wieder melden :-)
http://download.nai.com/products/mcafee-avert/stinger.exe
Antwort 6 von SvenjaK
Vielen Dank schon mal, Leute!
Werde eure Links mal abklappern.
Aber was zum Kuckuck ist eine oder die "stinger-Version"?? Bei den Affen war ich nämlich auch gucken, weil die wirklich eine riesige Viren-Datenbank haben, aber auch da nix. Jedenfalls nicht unter "N".
Erfolgsmeldung kommt hoffentlich gleich.
Svenja
PS: Würde mich ja schon interessieren, wo ich mir das Viech eingefangen haben könnte. Keiner ne Idee?
Werde eure Links mal abklappern.
Aber was zum Kuckuck ist eine oder die "stinger-Version"?? Bei den Affen war ich nämlich auch gucken, weil die wirklich eine riesige Viren-Datenbank haben, aber auch da nix. Jedenfalls nicht unter "N".
Erfolgsmeldung kommt hoffentlich gleich.
Svenja
PS: Würde mich ja schon interessieren, wo ich mir das Viech eingefangen haben könnte. Keiner ne Idee?
Antwort 7 von Mickey
Der Wurm nutzt wie "Blaster" den RPC-Bug und wurde vom SANS Institut entdeckt.
Der "W32/Nachi alias Blaster-D/Welchia" scheint nach der Datei "msblast.exe" zu suchen, beendet den zugehörigen Prozess, löscht die Wurmdatei (nicht aber den dazu gehörigen Registry-Eintrag), und versucht den Microsoft-Patch zu installieren. Danach startet er den Rechner neu und versucht weitere PC´s zu infizieren (unter anderem über Port 80 bei IIS 5.0). Der Wurm installiert vermutlich auch eine Backdoor, die Hackern später Zugriff auf das System erlaubt. W2K/XP Rechner werden auch über eine bekannte Schwachstelle in WebDAV (MS03-007) attakiert.
Findest du auch seit ein paar Monaten in den News
Gruss,
Mic
Bei Eingriffen ins System, die Registry oder an Systemdateien erst eine Sicherung vornehmen©
Der "W32/Nachi alias Blaster-D/Welchia" scheint nach der Datei "msblast.exe" zu suchen, beendet den zugehörigen Prozess, löscht die Wurmdatei (nicht aber den dazu gehörigen Registry-Eintrag), und versucht den Microsoft-Patch zu installieren. Danach startet er den Rechner neu und versucht weitere PC´s zu infizieren (unter anderem über Port 80 bei IIS 5.0). Der Wurm installiert vermutlich auch eine Backdoor, die Hackern später Zugriff auf das System erlaubt. W2K/XP Rechner werden auch über eine bekannte Schwachstelle in WebDAV (MS03-007) attakiert.
Findest du auch seit ein paar Monaten in den News
Gruss,
Mic
Bei Eingriffen ins System, die Registry oder an Systemdateien erst eine Sicherung vornehmen©
Antwort 8 von netzzwerg
sorry jetzt für die sehr harten worte:
dummheit muss bestraft werden!
dauerposterin hier im sn und bekommt nichts mit (?!)...
wer xp(home/pro)ohne die updates/patch-funktion des os zu benutzen, einsetzt
ist selber schuld!
und auch dieser thread beweisst die sinnhaftigkeit einer firewall (nicht nur im router, auch auf dem desktop gehört eine).
und amen :)
dummheit muss bestraft werden!
dauerposterin hier im sn und bekommt nichts mit (?!)...
wer xp(home/pro)ohne die updates/patch-funktion des os zu benutzen, einsetzt
ist selber schuld!
und auch dieser thread beweisst die sinnhaftigkeit einer firewall (nicht nur im router, auch auf dem desktop gehört eine).
und amen :)
Antwort 9 von Lutz1965
Antwort 10 von SvenjaK-Fanclub
Lutz, wer lesen kann ist klar im Vorteil, siehe Antwort 5!
Antwort 11 von Marker
fanclub, wer lesen kann ist klar im vorteil, siehe Antwort(?) 6
dein/euer link in antwort 5 verweist direkt auf einen exe-download, da würden die meisten nachfragen.. bzw. eine erklärung dazu posten. bei lutz war das halt die seite, auf der stinger ein wenig beschrieben wird..
Marker
Zitat:
Aber was zum Kuckuck ist eine oder die "stinger-Version"??
Aber was zum Kuckuck ist eine oder die "stinger-Version"??
dein/euer link in antwort 5 verweist direkt auf einen exe-download, da würden die meisten nachfragen.. bzw. eine erklärung dazu posten. bei lutz war das halt die seite, auf der stinger ein wenig beschrieben wird..
Marker
Antwort 12 von SvenjaK-Fanclub
Dein Argument verstehen wir :)
Also da wir ja Svenja gut kennen, würde sie nicht dran zweifeln, dass die *.exe evtl. irgend ein Schrott sein könnte. Das dient zur reinen (Download)-Bequemlichkeit.
Also da wir ja Svenja gut kennen, würde sie nicht dran zweifeln, dass die *.exe evtl. irgend ein Schrott sein könnte. Das dient zur reinen (Download)-Bequemlichkeit.
Antwort 13 von Gabi210
Hallo,
ich habe ein großes Problem. Wenn ich meinen Rechner hochfahre kommt folgende Meldung:
CPU overspeed
Was soll das heißen und was kann ich machen? Ich habe absolut keine Ahnung von rechner, deswegen wäre mir sehr geholfen, wenn man leichte antworten bekommen!
Ich danke euch schon mal im Voraus!!!
Eure Gabi
ich habe ein großes Problem. Wenn ich meinen Rechner hochfahre kommt folgende Meldung:
CPU overspeed
Was soll das heißen und was kann ich machen? Ich habe absolut keine Ahnung von rechner, deswegen wäre mir sehr geholfen, wenn man leichte antworten bekommen!
Ich danke euch schon mal im Voraus!!!
Eure Gabi
Antwort 14 von t-c
Und hier noch ein Link, habe mal diese Beschreibung über Stinger für mich/ euch rausgesucht, die ich auch verstehen kann... bin doch auch neugierig geworden ;-)
wer`s braucht, bitteschön... wer nicht, einfach nicht anklicken :-)
Gruß Thorsten
wer`s braucht, bitteschön... wer nicht, einfach nicht anklicken :-)
Gruß Thorsten
Antwort 15 von SvenjaK
Leute, zankt euch doch nicht meinetwegen...oder doch? ;-)
@netzzwerg
Zwergenaufstand? Deine "harten Worte" kannste.. nee, ich spars mir. Ich habe schon längst den ersten "Anti-Blaster"-Patch drauf, weil ich, wie du ganz richtig bemerkt hast, nicht zum ersten Mal hier bin und nicht nur poste, sondern gelegentlich auch lese. Den zweiten krieg ich nicht drauf, vielleicht kannst du als Fachzwerg mir ja erklären, warum ich immer folgende Meldung erhalte
...was definitiv falsch ist. Ich installiere eigentlich eher selten Sachen in kisuaheli oder koreanisch. Habs sogar schon mit englisch versucht, war auch nix.
So, jetzt bist du dran, Zwerg!
Und der Wurm turnt immer noch fröhlich auf meinem System rum, wie AV mir gerade mitteilte, obwohl ich schon xmal sämtliche inzwischen bekannten Tools drüber gejagt habe.
Gruß
Svenja
Signatur und Textformatierungen wurden mit SNTool V1.1.8 erstellt
@netzzwerg
Zwergenaufstand? Deine "harten Worte" kannste.. nee, ich spars mir. Ich habe schon längst den ersten "Anti-Blaster"-Patch drauf, weil ich, wie du ganz richtig bemerkt hast, nicht zum ersten Mal hier bin und nicht nur poste, sondern gelegentlich auch lese. Den zweiten krieg ich nicht drauf, vielleicht kannst du als Fachzwerg mir ja erklären, warum ich immer folgende Meldung erhalte
Zitat:
Setup cannot update your Windows XP files because the language installed on your system is different from the update language.
Setup cannot update your Windows XP files because the language installed on your system is different from the update language.
...was definitiv falsch ist. Ich installiere eigentlich eher selten Sachen in kisuaheli oder koreanisch. Habs sogar schon mit englisch versucht, war auch nix.
So, jetzt bist du dran, Zwerg!
Und der Wurm turnt immer noch fröhlich auf meinem System rum, wie AV mir gerade mitteilte, obwohl ich schon xmal sämtliche inzwischen bekannten Tools drüber gejagt habe.
Gruß
Svenja
Signatur und Textformatierungen wurden mit SNTool V1.1.8 erstellt
Antwort 16 von SvenjaK
Ach ja, ne DT-Firewall habe ich auch...
Und @Mic
Diesen RPC-Dienst habe ich schon vor Ewigkeiten abgeschaltet, als hier das erste Mal die Rede davon war.
Deswegen kann ich mir ja auch nicht erklären, wie das Mistviech auf meinen Rechner gekommen ist.
Und @Mic
Diesen RPC-Dienst habe ich schon vor Ewigkeiten abgeschaltet, als hier das erste Mal die Rede davon war.
Deswegen kann ich mir ja auch nicht erklären, wie das Mistviech auf meinen Rechner gekommen ist.
Antwort 17 von Oldie
hi Svenja,
also die Firewall hat da eindeutig versagt.
Wenn Du den Stress mit Viren und Würmern loswerden willst, musst Du, unabhängig von Browser (Opera ist wirklich gut ;-) ) vermutlich von der Freeware weggehen. Eine einigermassen gute Desktop-Firewall (es gibt ja Leute die sagen, das Geld dafür wäre rausgeschmissen) hält gegen solche Angriffe stand.
(übrigens, von NachiB. lese ich hier zum ersten Mal, ist der Wurm wirklich so bekannt? )
Was anderes, lässt Du wirklich zwei Virenscanner gleichzeitig laufen? Soll angeblich nicht unbedingt besser sein.
Ich vertraue Norton und bin bisher zwar Geld (für die jährlichen Updates)losgeworden, dafür aber von Schädlingen verschont geblieben.
Hoffentlich kriegst Du den Wurm problemlos weg.*Daumendrück*
also die Firewall hat da eindeutig versagt.
Wenn Du den Stress mit Viren und Würmern loswerden willst, musst Du, unabhängig von Browser (Opera ist wirklich gut ;-) ) vermutlich von der Freeware weggehen. Eine einigermassen gute Desktop-Firewall (es gibt ja Leute die sagen, das Geld dafür wäre rausgeschmissen) hält gegen solche Angriffe stand.
(übrigens, von NachiB. lese ich hier zum ersten Mal, ist der Wurm wirklich so bekannt? )
Was anderes, lässt Du wirklich zwei Virenscanner gleichzeitig laufen? Soll angeblich nicht unbedingt besser sein.
Ich vertraue Norton und bin bisher zwar Geld (für die jährlichen Updates)losgeworden, dafür aber von Schädlingen verschont geblieben.
Hoffentlich kriegst Du den Wurm problemlos weg.*Daumendrück*
Antwort 18 von Griemokhan
Lass den Stinger mal im abgesicherten Modus seine Arbeit tun.
Und wo du einmal dabei bist: die aktualisierten Spybot und Ad-aware ebenfalls,
wenngleich es mit deinen Würmern nicht direkt etwas zu tun hat.
Und wo du einmal dabei bist: die aktualisierten Spybot und Ad-aware ebenfalls,
wenngleich es mit deinen Würmern nicht direkt etwas zu tun hat.
Antwort 19 von SvenjaK
Hi Oldie,
danke für die guten Wünsche! :-)
Und f-prot als DOS-Scanner im Windows-Kleidchen und free AV ergänzen sich perfekt. Kommen sich auch nicht ins Gehege.
Sind beide immer auf dem neuestem Stand bei mir, da ich schon öfter Bekanntschaft mit Ungeziefer dieser Art gemacht habe und wie ich oben schon schrieb, bin selbst ich in der Lage aus Fehlern zu lernen. Deshalb hat mich das Post von Netzzwerg auch so geärgert.
Wenn frau vom Teufel spricht...schon wieder Alarm von f-prot. *grummel*
Und meiner Sygate(FW) vertraue ich eigentlich schon. Sie ist auch für Noobs leicht zu konfigurieren. Aber du hast mich da auf ne Idee gebracht. Ich hatte die FW heute mal kurz ausgemacht, weil internetmäßig nix mehr ging...
@Griemo
Werds versuchen, danke.
Svenja
danke für die guten Wünsche! :-)
Und f-prot als DOS-Scanner im Windows-Kleidchen und free AV ergänzen sich perfekt. Kommen sich auch nicht ins Gehege.
Sind beide immer auf dem neuestem Stand bei mir, da ich schon öfter Bekanntschaft mit Ungeziefer dieser Art gemacht habe und wie ich oben schon schrieb, bin selbst ich in der Lage aus Fehlern zu lernen. Deshalb hat mich das Post von Netzzwerg auch so geärgert.
Wenn frau vom Teufel spricht...schon wieder Alarm von f-prot. *grummel*
Und meiner Sygate(FW) vertraue ich eigentlich schon. Sie ist auch für Noobs leicht zu konfigurieren. Aber du hast mich da auf ne Idee gebracht. Ich hatte die FW heute mal kurz ausgemacht, weil internetmäßig nix mehr ging...
@Griemo
Werds versuchen, danke.
Svenja
Antwort 20 von Oldie
guten Morgen Svenja,
in der Hoffnung, dass sich der Netzgiftzwerg inzwischen verkrümelt hat, möchte ich Dir eine Imagine Software wie Powerquest Drive Image oder Acronis True Image ans Herz legen. Kommt jeder DAU mit zurecht (zu dieser Kategorie gehörst Du ohnehin nicht) und Du glaubst nicht, wie angenehm es sich mit einem Image als Retter im Hintergrund arbeiten lässt.
Denk einfach mal drüber nach ;-)
in der Hoffnung, dass sich der Netzgiftzwerg inzwischen verkrümelt hat, möchte ich Dir eine Imagine Software wie Powerquest Drive Image oder Acronis True Image ans Herz legen. Kommt jeder DAU mit zurecht (zu dieser Kategorie gehörst Du ohnehin nicht) und Du glaubst nicht, wie angenehm es sich mit einem Image als Retter im Hintergrund arbeiten lässt.
Denk einfach mal drüber nach ;-)
Antwort 21 von SvenjaK
So, das Mistvieh ist eliminiert. :-)
Ich hatte anscheinend gestern den Fehler gemacht, die Firewall nicht gleich wieder hochzufahren. So hat sich das Gewürms vermutlich immer wieder breit gemacht, nachdem ich es mit Hilfe der Links von euch plätten konnte, weil ich fast ständig online bin (mein PC zumindest). Das ist jedenfalls die einzige Erklärung, die mir dazu einfällt.
Danke nochmal an alle, die mir geholfen haben bei der Schädlingsbekämpfung!
@Oldie
Du wirst lachen, ich habe Drive Image sogar hier und hatte es auch schon mal installiert. Aber anscheinend unterschätzt du meinen DAU-Status doch ein wenig, denn ich bin damit nicht gleich zurecht gekommen und da ich außerdem ne faule S..ocke bin, hab ich dann auch recht schnell wieder aufgegeben. Aber ich geh gleich mal nach der CD graben, versprochen! ;-)
Bis zum nächsten Mal dann...
Svenja
Ich hatte anscheinend gestern den Fehler gemacht, die Firewall nicht gleich wieder hochzufahren. So hat sich das Gewürms vermutlich immer wieder breit gemacht, nachdem ich es mit Hilfe der Links von euch plätten konnte, weil ich fast ständig online bin (mein PC zumindest). Das ist jedenfalls die einzige Erklärung, die mir dazu einfällt.
Danke nochmal an alle, die mir geholfen haben bei der Schädlingsbekämpfung!
@Oldie
Du wirst lachen, ich habe Drive Image sogar hier und hatte es auch schon mal installiert. Aber anscheinend unterschätzt du meinen DAU-Status doch ein wenig, denn ich bin damit nicht gleich zurecht gekommen und da ich außerdem ne faule S..ocke bin, hab ich dann auch recht schnell wieder aufgegeben. Aber ich geh gleich mal nach der CD graben, versprochen! ;-)
Bis zum nächsten Mal dann...
Svenja
Antwort 22 von uNlike
Hi!
Ich habe ein kleines Problem normalerweise kenne ich mich mit Rechnern aus allerdings übersteigt dieses Problem meine Kentnisse. Und zwar:
Ich kann mit meinem PC nur noch Programme starten. Allerdings wenn ich einen Ordner öffnen will geht meine CPU Auslastung auf 100 % und es tut sich nichts mehr. Was kann ich machen?
Ich habe von Worm Fix Programmen alles ausprobiert mein Norton 2004 Pro hat nix gefunden und meine Firewall hatte auch nicht 1 mal etwas angezeigt. MIt Stinger ist nix zu finden chkdsk findet auch nix (logischerweise findet nie was).
Also nun zum Schluss das einfache Problem:
Ich kann nur noch Programme starten aber keine Ordner mehr öffne. Dies verhindert somit das ich auf die Systemsteuerung oder den Arbeitsplatz zugreifen kann.
Mfg uNlike
PS: BITTE UM SCHNELLE!!! HILFE
Ich habe ein kleines Problem normalerweise kenne ich mich mit Rechnern aus allerdings übersteigt dieses Problem meine Kentnisse. Und zwar:
Ich kann mit meinem PC nur noch Programme starten. Allerdings wenn ich einen Ordner öffnen will geht meine CPU Auslastung auf 100 % und es tut sich nichts mehr. Was kann ich machen?
Ich habe von Worm Fix Programmen alles ausprobiert mein Norton 2004 Pro hat nix gefunden und meine Firewall hatte auch nicht 1 mal etwas angezeigt. MIt Stinger ist nix zu finden chkdsk findet auch nix (logischerweise findet nie was).
Also nun zum Schluss das einfache Problem:
Ich kann nur noch Programme starten aber keine Ordner mehr öffne. Dies verhindert somit das ich auf die Systemsteuerung oder den Arbeitsplatz zugreifen kann.
Mfg uNlike
PS: BITTE UM SCHNELLE!!! HILFE
Antwort 23 von Mickey
@uNlike,,
sei doch so gut und eröffne zu deinem Problem eine eigene Anfrage
Gruss,
Mic
Bei Eingriffen ins System, die Registry oder an Systemdateien erst eine Sicherung vornehmen©
sei doch so gut und eröffne zu deinem Problem eine eigene Anfrage
Gruss,
Mic
Bei Eingriffen ins System, die Registry oder an Systemdateien erst eine Sicherung vornehmen©
Antwort 24 von StilleQuelle
Hallo uNlike,
mach doch am besten eine eigene Meldung auf.
Und ein paar Daten zum Betriebssystem (WinXP?) sowie zur Hardware wären nützlich. Ebenso, seit wann der Fehler auftritt. Hast du davor was verändert?? Neue Hardware? Neues Programm???
Gruß
SQ
mach doch am besten eine eigene Meldung auf.
Und ein paar Daten zum Betriebssystem (WinXP?) sowie zur Hardware wären nützlich. Ebenso, seit wann der Fehler auftritt. Hast du davor was verändert?? Neue Hardware? Neues Programm???
Gruß
SQ