Virus: I-Worm/Netsky.B

Internet Internet Sicherheit
1

Davon scheint mein ganzer Rechner voll zu sein,
wie krieg ich den wieder weg?
Hab schon mehrere Virenscanner ausprobiert, die erkennen
ihn, „heilen“ angeblich, aber er beim nächsten Durchlauf
ist alles wie gehabt.

Es sind beispielsweise ganz viele Dateien im versteckten
Verzeichnis „C:_Restore\Temp…“ betroffen.
Wenn ich mit WinCommander dareingehe, kann ich jedoch nichts
löschen.

I. Welches Antivirenprogramm entfernt Netsky.B?
II. Wie lösche ich das Verzeichnis „C:_Restore“?

Tausend Dank!!

2

Hi.

Guckst du hier:

http://www.bitdefender.com/bd/site/virusinfo.php?men…

MfG
Toni

3

http://securityresponse.symantec.com/avcenter/FxNets…

4

Hallo Patrick

Davon scheint mein ganzer Rechner voll zu sein,
wie krieg ich den wieder weg?

Setz den Rechner komplett neu auf. Das ist die sauberste Lösung und im Endeffekt einfacher als noch stundenlang rumzudoktern…

CU
Peter

5

Hallo

Keine Antwort ist manchmal besser …

Hallo Patrick

Davon scheint mein ganzer Rechner voll zu sein,
wie krieg ich den wieder weg?

Setz den Rechner komplett neu auf. Das ist die sauberste
Lösung und im Endeffekt einfacher als noch stundenlang
rumzudoktern…

So was dummes habe ich selten gehört.
Und was ist dann nach dem neuaufsetzen besser?
Schon mal was von Ursachenbekämpfung gehört?
Nach deiner Metode dauert es ca 5 mins und der Virus ist wieder drauf da er ja keinen oder ungenügenden Schutz hat.
Besser du würdest empfehlen einen Virenschutz zu installieren und wenn möglich das Betribsystem upzudaten.
Mit den heutigen removal tools ist es absolut kein Problem solche Viren zu entfernen, wenn mans richtig macht. (meist im abgesicherten Modus)
Wenn ich mal so was brache benutze ich die:
http://www.symantec.com/avcenter/tools.list.html

In diesem Sinne

Gruss Markus

CU
Peter

6

Hallo!

… dieses Verzeichnis „C:_Restore\Temp…“ gehört zur Systemwiederherstellung von Windows XP oder Windows Me, deaktivier die Systemwiederherstellung dem Betriebssystem entsprechend (steht in der Hilfe), starte den PC neu, nun kannst den Virus bekämpfen, wenn alles wieder OK, Systemwiederherstellung wieder einschalten oder den Systemwiederherstellungspunkt manuell machen, dann wird kein Virus automatisch mehr mitgesichert!

Gruß Franz

7

Hallo Markus,

Keine Antwort ist manchmal besser …

Wie wahr…

Setz den Rechner komplett neu auf. Das ist die sauberste
Lösung und im Endeffekt einfacher als noch stundenlang
rumzudoktern…

So was dummes habe ich selten gehört.

Wieso dumm?

Und was ist dann nach dem neuaufsetzen besser?

Die vom Virus infizierten oder zerstörten System-Dateien sind wieder in originalem Zustand.

Schon mal was von Ursachenbekämpfung gehört?
Nach deiner Metode dauert es ca 5 mins und der Virus ist
wieder drauf da er ja keinen oder ungenügenden Schutz hat.
Besser du würdest empfehlen einen Virenschutz zu installieren
und wenn möglich das Betribsystem upzudaten.

Er hat NICHT behauptet, dass man keinen Virenschutz installieren und kein Update einspielen soll. Normalerweise sollte es Routine sein, bei einer OS-Installation alle Updates einzuspielen.

Mit den heutigen removal tools ist es absolut kein Problem
solche Viren zu entfernen, wenn mans richtig macht. (meist im
abgesicherten Modus)

Eine kleine Frage: Woher weisst Du, dass das System danach wieder im ursprünglichen Zustand ist? Weil es das Removal Tool behauptet?
Ausserdem: „…absolut kein Problem…“ Ich hatte schon mehr als genug Fälle, wo zwar das Removal Tool zwar den Wurm/Virus entfernte, das System aber immer noch beschädigt war. Inzwischen bin ich dazu übergegangen, bei solchen Fällen gleich das OS neu einzuspielen - spart i.d.R. eine Menge Ärger und Zeit. Die Leute jammern zwar, wenn sie danach alle Programme neu konfigurieren müssen - aber SSKM (selber Schuld, kein Mitleid).

Mfg,
Pürsti

8

Hallo Markus,

Keine Antwort ist manchmal besser …

Wie wahr…

Das ist es :smile:

Setz den Rechner komplett neu auf. Das ist die sauberste
Lösung und im Endeffekt einfacher als noch stundenlang
rumzudoktern…

So was dummes habe ich selten gehört.

Wieso dumm?

Na ja Du sagst es ja wegen den Einstellungen.

Und was ist dann nach dem neuaufsetzen besser?

Die vom Virus infizierten oder zerstörten System-Dateien sind
wieder in originalem Zustand.

Die lästigen Viren wie Mydoom Netsky usw. zerstören ja keine Systemdateien. Die sind auch bei Virenbefall noch im Originalzustand.

Schon mal was von Ursachenbekämpfung gehört?
Nach deiner Metode dauert es ca 5 mins und der Virus ist
wieder drauf da er ja keinen oder ungenügenden Schutz hat.
Besser du würdest empfehlen einen Virenschutz zu installieren
und wenn möglich das Betribsystem upzudaten.

Er hat NICHT behauptet, dass man keinen Virenschutz
installieren und kein Update einspielen soll. Normalerweise
sollte es Routine sein, bei einer OS-Installation alle Updates
einzuspielen.

Das sagte ich ja auch nicht. Ich meinte damit dass es sehr wahrscheindlich ist dass der keinen Virenschutz hatte. Sonnst wäre ja der Virus abgefangen worden.

Mit den heutigen removal tools ist es absolut kein Problem
solche Viren zu entfernen, wenn mans richtig macht. (meist im
abgesicherten Modus)

Eine kleine Frage: Woher weisst Du, dass das System danach
wieder im ursprünglichen Zustand ist? Weil es das Removal Tool
behauptet?
Ausserdem: „…absolut kein Problem…“ Ich hatte schon mehr
als genug Fälle, wo zwar das Removal Tool zwar den Wurm/Virus
entfernte, das System aber immer noch beschädigt war.
Inzwischen bin ich dazu übergegangen, bei solchen Fällen
gleich das OS neu einzuspielen - spart i.d.R. eine Menge Ärger
und Zeit. Die Leute jammern zwar, wenn sie danach alle
Programme neu konfigurieren müssen - aber SSKM (selber Schuld,
kein Mitleid).

Weil ich schon sicher an die 1000 pc bereinigt habe und jeder wieder ohne Probleme lief, sage ich es sei kein Problem.
Stell Dir nur mal vor Du hast ein Netzwerk mit 1000 PC und jeder hat einen Virus. Dann kannst Du ja auch nicht einfach 1000 Pc`s neu installieren.

Mfg,
Pürsti

9

Hallo Markus

Setz den Rechner komplett neu auf. Das ist die sauberste
Lösung und im Endeffekt einfacher als noch stundenlang
rumzudoktern…

So was dummes habe ich selten gehört.

[] Du hast verstanden, was ich darunter verstehe.

Und was ist dann nach dem neuaufsetzen besser?

Das System ist erstmal wieder sauber.

Schon mal was von Ursachenbekämpfung gehört?

Natürlich.

Nach deiner Metode dauert es ca 5 mins und der Virus ist
wieder drauf da er ja keinen oder ungenügenden Schutz hat.

Falsch. Mit neu Aufsetzen meine ich, und halte das eigentlich für selbstverständlich, dass man folgende Dinge macht:

Zunächst Netzwerk- bzw. Internetverbindung physikalisch trennen (Kabel ausziehen). Betriebssystem von einer vertrauenswürdigen Quelle (z.B. Original-CD) aufsetzen. Je nachdem vorher vielleicht noch die Festplatte mit Daten-Shreddern behandeln, damit garantiert kein Virus o.ä. das Ganze überlebt…

Sobald das Betriebssystem soweit läuft und es sich um Windows 2000 oder XP handelt, zunächst das Service Pack 4 (bei Windows 2000) bzw. 1 bei XP installieren. Dann mindestens den ‚Blaster-Patch‘ installieren. AFAIK reicht das, damit man anschliessend relativ problemlos im Internet allfällige Treiber und vor allem die weiteren Updates, Patches etc. für Windows herunterladen kann.

Anschliessend neben dem Installieren der benötigten Programme noch etwas Recherche betreiben und sich informieren, was der Wurm, den man hatte, anrichtet, wie er sich verbreitet etc. Sich diese Informationen zu Herzen nehmen und z.B. Mailwürmer dadurch vermeiden, dass man dem Mailprogramm die Ausführung irgendwelcher Dinge ohne Nachfrage abgewöhnt, dass man Attachments generell sehr vorsichtig und restriktiv behandelt und beim geringsten Zweifel ungeöffnet löscht…

Je nachdem kann auch die Installation eines Antivirentools vorgenommen werden. Da diese Tools jedoch nicht wirklich zuverlässig sind, sollte man sich hüten, sich zu sehr darauf zu verlassen, was das AV-Tool jeweils meldet oder eben nicht meldet.

Mit den heutigen removal tools ist es absolut kein Problem
solche Viren zu entfernen, wenn mans richtig macht.

Woher willst Du wissen, dass das Ding wirklich alles entfernt hat? Es hat schon die Situation gegeben, wo ein Mailwurm so ganz nebenbei eine Backdoor installiert hat und das Removal-Tool nur den Wurm entfernt hat, die Backdoor jedoch nicht…

Im übrigen geht man im professionellen Umfeld von dieser Prämisse aus: Wenn ein Rechner kompromittiert ist (z.B. ein Virus ausgeführt wurde), ist er nicht mehr vertrauenswürdig. Da Malware, wenn sie läuft, prinzipiell auf Antivirentools und anderes Einfluss nehmen kann. Daher ist das Neuaufsetzen von vertrauenswürdigen Medien die sauberste Lösung.

CU
Peter

10

Hallo Markus

Setz den Rechner komplett neu auf. Das ist die sauberste
Lösung und im Endeffekt einfacher als noch stundenlang
rumzudoktern…

So was dummes habe ich selten gehört.

[] Du hast verstanden, was ich darunter verstehe.

Ja habe ich.

Und was ist dann nach dem neuaufsetzen besser?

Das System ist erstmal wieder sauber.

Stimmt ja schon aber das geht ohne neu aufsetzen 100% auch.

Schon mal was von Ursachenbekämpfung gehört?

Natürlich.

Dann ist ja gut.

Nach deiner Metode dauert es ca 5 mins und der Virus ist
wieder drauf da er ja keinen oder ungenügenden Schutz hat.

Falsch. Mit neu Aufsetzen meine ich, und halte das eigentlich
für selbstverständlich, dass man folgende Dinge macht:

Woher soll das ein Laie wissen?

Zunächst Netzwerk- bzw. Internetverbindung physikalisch
trennen (Kabel ausziehen). Betriebssystem von einer
vertrauenswürdigen Quelle (z.B. Original-CD) aufsetzen. Je
nachdem vorher vielleicht noch die Festplatte mit
Daten-Shreddern behandeln, damit garantiert kein Virus o.ä.
das Ganze überlebt…

Sobald das Betriebssystem soweit läuft und es sich um Windows
2000 oder XP handelt, zunächst das Service Pack 4 (bei Windows
2000) bzw. 1 bei XP installieren. Dann mindestens den
‚Blaster-Patch‘ installieren. AFAIK reicht das, damit man
anschliessend relativ problemlos im Internet allfällige
Treiber und vor allem die weiteren Updates, Patches etc. für
Windows herunterladen kann.

Anschliessend neben dem Installieren der benötigten Programme
noch etwas Recherche betreiben und sich informieren, was der
Wurm, den man hatte, anrichtet, wie er sich verbreitet etc.
Sich diese Informationen zu Herzen nehmen und z.B. Mailwürmer
dadurch vermeiden, dass man dem Mailprogramm die Ausführung
irgendwelcher Dinge ohne Nachfrage abgewöhnt, dass man
Attachments generell sehr vorsichtig und restriktiv behandelt
und beim geringsten Zweifel ungeöffnet löscht…

Je nachdem kann auch die Installation eines Antivirentools
vorgenommen werden. Da diese Tools jedoch nicht wirklich
zuverlässig sind, sollte man sich hüten, sich zu sehr darauf
zu verlassen, was das AV-Tool jeweils meldet oder eben nicht
meldet.

Mit den heutigen removal tools ist es absolut kein Problem
solche Viren zu entfernen, wenn mans richtig macht.

Woher willst Du wissen, dass das Ding wirklich alles entfernt
hat?

In dem ich das manuell überprüfe Z.B. in der Registrie

Es hat schon die Situation gegeben, wo ein Mailwurm so
ganz nebenbei eine Backdoor installiert hat und das
Removal-Tool nur den Wurm entfernt hat, die Backdoor jedoch
nicht…

Klar nach Removal-Tool empfielt es sich ein Spyware Programm zu installieren z.b. adaware

Im übrigen geht man im professionellen Umfeld von dieser
Prämisse aus: Wenn ein Rechner kompromittiert ist (z.B. ein
Virus ausgeführt wurde), ist er nicht mehr vertrauenswürdig.
Da Malware, wenn sie läuft, prinzipiell auf Antivirentools und
anderes Einfluss nehmen kann. Daher ist das Neuaufsetzen von
vertrauenswürdigen Medien die sauberste Lösung.

In einen professionellen Umfeld darf es nicht vorkommen, dass ein Virus bis zum enduser kommt.

CU
Peter

Bis dann

Markus