Wurm eingefangen - wie loswerden?

Thomas_41e129 · 8. November 2019 um 19:39

Hallo zusammen!

Ich habe mir einen Wurm eingefangen, den meine Firewall beim Versuch erwischte, als „winmes.exe“ ins Internet zu gelangen. Im Netz gibt’s nur spärliche Infos. Jedenfalls lastet der Wurm den Prozessor zu 100% aus, so dass nix mehr geht. Was er sonst noch veranstaltet, weiß ich nicht. Nichts gutes denk ich mal.
Problem ist nun, das Ding wieder loszuwerden. Die Datei an sich existiert nicht - kann ich also auch nicht löschen. Eine andere Datei namens „hwclock.exe“ möchte auch gern ins Netz - hab’ sie aber nicht gelassen. hwclock an sich scheint ja mit WinXP zusammenzuhängen, eine hwclock.exe gibt’s aber wiederum nicht.
Mein Virenprogramm (Bitdefender) findet nichts, weil ja kurz nach PC-Start das System auf 100% geht. Im abgesicherten Modus startet dann das verflixte Programm gar nicht erst. Wird zwar als laufender Prozess im Taskmanager angezeigt, lässt sich aber nicht blicken. Habe zumindest die Info, dass man Würmer am besten im abgesicherten Modus loswerden kann. Aber wie? Wie unsicher ist es außerdem, jetzt noch ins Netz zu gehen? Bitdefender schlägt ja Alarm und man kann den Zugriff verweigern, aber was geht da sonst noch ab?

Ich hoffe, es führen genug Wege vorbei an allem, was mit „format“ zu tun hat…

Danke und Gruß,
Thomas

Anonym_028940377b35 · 8. November 2019 um 19:40

Hallo Thomas

Ich hoffe, es führen genug Wege vorbei an allem, was mit
„format“ zu tun hat…

Solche Wege mags zwar geben, jedoch sind die mit Vorsicht zu geniessen. Es ist nach wie vor am sichersten und sinnvollsten, den Rechner umgehend vom Netz zu trennen, ihn flachzumachen und neu aufzusetzen.

Alles andere braucht erstens Zeit und zweitens viel Know How. Birgt aber das Risiko, dass man nicht alles findet und entfernt, was mit dem Wurm zusammenhängt. Da das System kompromittiert ist, sollte man allfällige Versuche der Rettung aber in jedem Fall so machen, dass man ein anderes System bootet, z.B. ein Knoppix von CD. Denn was Programme, die auf dem befallenen System ausgeführt werden, so alles melden, ist nicht vertrauenswürdig. Könnte vom Wurm beeinflusst sein.

CU
Peter

Hinterw_ldler_37172f · 8. November 2019 um 19:40

Hallo Thomas

Ich hoffe, es führen genug Wege vorbei an allem, was mit
„format“ zu tun hat…

Ohne dir zunahe zu treten, aber wenn deine PFW sich schon aufreget und das tut sie eigentlich nur bei Programmen aus vertrauenswürdigen Quellen, dann ist es schon weit böse.

Ungeschminkt:
Dein PC ist kompromittiert, da weiß nicht einmal der reichste Mann dieser Welt einen besseren Rat. Das liest du aber besser in den FAQ nach. Ich habe für dich noch einen Leckerbissen: http://ulm.ccc.de/chaos-seminar/windows-security/rec… Dort wird dir reichlich zwei Stunden lang in Wort und Bild erzählt, was du alles falsch gemacht hast und was du zukünftig ändern mußt.

Wenn du noch wissen willst, welche Wirkung deine Firewall auf deinem System hat, so sind auch hier nochmal 1,5 Stunden fällig: http://ulm.ccc.de/chaos-seminar/personal-firewalls/r…

Also nichts für ungut,
der hinterwäldler

Thomas_41e129 · 8. November 2019 um 19:40

Kleines Update
Schon wieder hallo und vielen Dank bisher!

Ich stelle mir nun gerade die Frage, ob folgendes möglich ist und Abhilfe bringen kann:
Ich hatte im befallenen Rechner noch eine alte HD mit kompletter WinXP-Installation. Ich habe diese Platte zum Master gemacht und die andere vom System getrennt. Nach Rechnerneustart scheint alles soweit zu funktionieren - von den obskuren Prozessen keine Spur, der PC läuft seit einer halben Stunde ganz normal. Wäre es nun möglich, auf dieser Platte neueste Virensoftware zu installieren, dann die befallene Platte als Slave wieder einzubauen und vom Master aus checken zu lassen? Oder würde sich der Wurm dann weiter auf die noch gesunde Platte fortpflanzen?

Würde das gerne testen, möchte mir aber nicht meine letztes wurmfreies Refugium zerstören.

Danke und Gruß,
Thomas

big_surfer · 8. November 2019 um 19:41

Das kannst du machen, ändert aber an den Empfehlungen bezüglich eines kompromittierten Systems nichts (s. die anderen Antworten). Meine Standard Vorgehensweise wäre dann (bachte die Einschränkung bezügliche der Garantie):

Keiner der am Markt angebotenen Virenscanner ist perfekt. Es ist deshalb eine gute Idee mit einem zweiten oder dritten Antivirenprogramm zu scannen. Sehr leistungsfähige (kostenlose) Virenscanner sind escan (Kaspersky Engine) und BitdefenderFree.

Da aber alle Virenscanner Probleme mit Trojanern und Spyware haben, grundsätzlich mit Spyware- und Trojanerscanner zusätzlich prüfen: Spybot Search&Destroy und a² (emisoft). Für alle eingesetzten Programme gilt: Vor dem Einsatz aktualisieren (updaten)!

Dannach checken mit HijackThis und MSConfig.

Dann Systemwiederherstellung (nur Windows XP) deaktivieren und im abgesicherten Modus booten. Nochmal Virenscanner, Spybot und a² drüber laufen lassen und mit HijackThis überprüfen/fixen. Wenn keine Fehler mehr, neu booten und die Systemwiederherstellung wieder aktivieren.

Eine Garantie, dass der Schädling weg ist, hast du aber nicht. Hier hilft nur Formatieren und Neuinstallation der Festplatte.

Du solltest dir aber mal grundlegende Gedanken machen, warum du den Schädling bekommen hast und entsprechende Vorsorgemaßnahmen ergreifen (Stichwort 10 goldene Regeln).

Infos und Downloads zum Thema findest du auf meiner Webpage http://www.comsafe.de

Bevor du also soviel Aufwand betreibst, sichere deine Daten und setze das Betriebssystem neu auf!