Wurm - was nun?

hi

keine ahnung wie - aber habe mir einen „worm/autoit.abnh“ eingefangen (sagt avg). komplettsicherung des systems auf externer festplatte liegt vor aber ich komme im moment nicht dran (lange geschichte).

1. wie hoch ist die wahrshceinlichkeit dass der wurm einen für mich spürbaren schaden anrichtet wenn ich den rechner ein paar tage weiterbenutze bis ich an den externen speicher komme???

2. ich möchte die externe festplatte nicht dranklemmen solange der rechner infiziert ist. wie sichere also am besten die wenigen dateien manuell, die ich seit der letzten sicherung bearbeitet habe? usb-stick? ginge grössenmässig aber ich habe angst dass der mitinfiziert wird und dann wiederum die festplatte infiziert.

3. wann kann ich rechner in einem lokalen netzwerk, die nicht mehr an waren seit der infektion, wieder sicher einschalten ohne dass es über den router oder so eine verbreitung des wurms gibt? wie kann man da sichergehen?

4. wenn die sicherung vorliegt würde ich den rechner formatieren (kann ich dabei etwas falsch/unvollständig machen?), die sicherung draufspielen und die seitdem geänderten dateien manuell ergänzen. ist das sinnvoll oder kann ich mir das neuaufsetzen sparen???

danke!!!

ps: für die zukunft: ich habe bisher nur avg anti virus installiert. welche (kostenlose) software bietet einen schutz vor würmern etc.??

ergänzunng
betriebssystem ist - wie bei vermutlich jedem der solche fragen stellt - windows und zwar xp …

keine ahnung wie - aber habe mir einen „worm/autoit.abnh“
eingefangen (sagt avg).

Der AutoIt verbreitet sich klassisch per Netzwerkshares und Datenträgerweitergabe. Wie weit das auch auf die Variante ‚abnh‘ zutrifft, kann ich nicht sagen. Im weiteren beziehe ich mich nur auf die klassische Variante.

1. wie hoch ist die wahrshceinlichkeit dass der wurm einen für
   mich spürbaren schaden anrichtet wenn ich den rechner ein paar
   tage weiterbenutze bis ich an den externen speicher komme???

Gering, wenn der Rechner während dieser Zeit nicht mit dem Internet verbunden ist.

2. ich möchte die externe festplatte nicht dranklemmen solange
   der rechner infiziert ist. wie sichere also am besten die
   wenigen dateien manuell, die ich seit der letzten sicherung
   bearbeitet habe? usb-stick? ginge grössenmässig aber ich habe
   angst dass der mitinfiziert wird und dann wiederum die
   festplatte infiziert.

Den USB-Stick zu infizieren wird der AutoIt versuchen. Du solltest nach der Neuinstallation zuallererst dafür sorgen, dass der Autostart für externe Datenträger (CD, DVD, USB…) unterbunden ist und den Stick vor dem Rückspielen der Dateien auf Viren scannen und ggf. desinfizieren lassen.

3. wann kann ich rechner in einem lokalen netzwerk, die nicht
   mehr an waren seit der infektion, wieder sicher einschalten
   ohne dass es über den router oder so eine verbreitung des
   wurms gibt? wie kann man da sichergehen?

Indem du auf diesen Rechnern sämtliche, auch administrative Freigaben deaktivierst. Oder mittels XP-Firewall sämtliche Ports sperrst und anschließend per Portscan von aussen testest.

4. wenn die sicherung vorliegt würde ich den rechner
   formatieren (kann ich dabei etwas falsch/unvollständig
   machen?), die sicherung draufspielen und die seitdem
   geänderten dateien manuell ergänzen. ist das sinnvoll oder
   kann ich mir das neuaufsetzen sparen???

Das Neuaufsetzen solltest du dir keinesfalls sparen. Der AutoIT versucht, Dateien aus dem Internet nachzuladen, und wenn ihm das einmal gelungen ist, ist die Neuinstallation unverzichtbar.

HTH

danke für deine antwort!!

Gering, wenn der Rechner während dieser Zeit nicht mit dem
Internet verbunden ist.

was kann denn passieren wenn der rechner online ist UND man ihn trotz wurm weiterbenutzt? auf dem rechner sind keine im engeren sinne „sensible“ daten…

Den USB-Stick zu infizieren wird der AutoIt versuchen.

wäre es besser die dateien auf cd / dvd zu brennen?? oder gelingt es dem wurm auch sich in einen solchen vorgang einzuschleusen und die cd zu infizieren? ihc suche halt nach einem unkomplizierten sicheren weg von dem infizierten pc ca. 1-2 gb daten manuell zu sichern und auf das neuaufgesetzte system zu bekommen…

Indem du auf diesen Rechnern sämtliche, auch administrative
Freigaben deaktivierst. Oder mittels XP-Firewall sämtliche
Ports sperrst und anschließend per Portscan von aussen testest.

puh - gibt es da eine anleitung wie das funktioniert?? klingt ein bisschen hoch für mich…

Das Neuaufsetzen solltest du dir keinesfalls sparen.

okay danke!!

was kann denn passieren wenn der rechner online ist UND man
ihn trotz wurm weiterbenutzt? auf dem rechner sind keine im
engeren sinne „sensible“ daten…

Der Rechner kann zur Spam- und Virenschleuder mutieren. Im ärgsten Fall kann sowas eine Abmahnung oder gar Sperre durch den Provider nach sich ziehen.

wäre es besser die dateien auf cd / dvd zu brennen?? oder
gelingt es dem wurm auch sich in einen solchen vorgang
einzuschleusen und die cd zu infizieren?

Um Dateien auf eine CD/DVD zu brennen, musst du diese unter XP lediglich per Drag’n’Drop auf den entspr. Ordner ziehen. Warum sollte der Wurm daran scheitern? Auch tarnt sich der Wurm als Ordner, zumindest theoretisch besteht die Gefahr, dass du ihn selbst versehentlich in die Sicherung einbeziehst.

Indem du auf diesen Rechnern sämtliche, auch administrative
Freigaben deaktivierst. Oder mittels XP-Firewall sämtliche
Ports sperrst und anschließend per Portscan von aussen testest.

puh - gibt es da eine anleitung wie das funktioniert?? klingt
ein bisschen hoch für mich…

Ich glaub es reicht aus, in den Firewalleinstellungen in der Systemsteuerung ‚Keine Ausnahmen zulassen‘ o. ä. zu aktivieren. Vorsichtshalber zusätzlich in Systemsteuerung-> Netzwerkverbindungen-> Lan-Verbindung-> Eigenschaften die Bindungen ‚Client für Microsoft-Netzwerke‘ sowie Datei- und Druckerfreigabe für Microsoft-Netzwerke’ aufheben.

Gruß

Hallo Fragewurm,

2. ich möchte die externe festplatte nicht dranklemmen solange
   der rechner infiziert ist. wie sichere also am besten die
   wenigen dateien manuell, die ich seit der letzten sicherung
   bearbeitet habe? usb-stick? ginge grössenmässig aber ich habe
   angst dass der mitinfiziert wird und dann wiederum die
   festplatte infiziert.

Boote den PC von einer CD auf welcher z.B. Knoppix drauf ist (Liegt immer wieder PC-Zeitschriften bei). Dann kopierst du die Dateien unter diesem Betriebssystem.

3. wann kann ich rechner in einem lokalen netzwerk, die nicht
   mehr an waren seit der infektion, wieder sicher einschalten
   ohne dass es über den router oder so eine verbreitung des
   wurms gibt? wie kann man da sichergehen?

Wenn der infizierte PC nicht im Netzwerk ist.
Also entweder abgesteckt oder ganz ausgeschaltet ist. Andernfalls versucht der Wurm die anderen PCs zu infizieren.

MfG Peter(TOO)

Hallo,

wenn dein Virenscanner bei einer neu heruntergladenen Datei einen Virus entdeckt hat, kann dieser nooh keinen Schaden angerichtet haben (Hintergrund-Überprüfung aktiv). Also in diesem Fall die infizierte Datei löschen und zur Sicherheit noch einen Systemscan mit einem zweiten Virenscanner, z.B. Malwarebyte durchführen.

Unter http://www.avira.com/de/threats/section/fulldetails/… (Weitere Details hier anklicken) findest du eine Beschreibung, was dieser Virus bewirkt. Du kannst leicht überprüfen, ob die dort angeführten Änderungen bei dir aufgetreten sind.
Wenn du nichts gefunden wird, ist die Sache erledigt.

Grüße Culles

wenn dein Virenscanner bei einer neu heruntergladenen Datei
einen Virus entdeckt hat, kann dieser nooh keinen Schaden
angerichtet haben (Hintergrund-Überprüfung aktiv).

ja ich war quasi live dabei wie auf einmal avg aufpoppte, anzeigte was es entdeckt hat und die datei (zweimal eine soundso exe) in die virenquarantäne verschoben hat. ich habe übrigens nix heruntergeladen, war auch auf keiner dubiosen seite sondern einfach online als die datei erschien.

zur Sicherheit noch einen Systemscan mit einem zweiten Virenscanner

ok werde ich morgen machn…

Du kannst leicht überprüfen, ob die
dort angeführten Änderungen bei dir aufgetreten sind.

okay schauen wir mal…

Kopien seiner selbst werden hier erzeugt:
• %WINDIR%\svchost32.exe
• %temporary internet files%\Content.IE5\C5MBSP2B\host[1].jpg

in c:\windows ist keine svchost32.exe, in meinem internet-temp gibt es keinen solchen ordner und keine solche datei

_Folgende Registryschlüssel werden hinzugefügt:

– [HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel]
• „Homepage“=dword:00000001_

nicht vorhanden.

– [HKCU\Software\Microsoft\Internet Explorer\Main]
• „Start Page“="[http://www.geocities.co.jp/**********](http://www.geocities.co.jp/ ********** )"
• „Window Title“=„Viva TermeX !“

nö. als startseite ist immernoch die von mir eingestellte drin (auch wenn ich den ie nicht nutze) und der window title wurde auch nicht geändert. der ganze yahoo kram der angeblich da sein soll fehlt auch.

Wenn du nichts gefunden wird, ist die Sache erledigt.

im ernst?? also das sind jetzt relativ wiedersprüchliche informationen von verschiedenen leuten hier. die einen sagen mir ich soll den rechner sofort vom netz nehmen und in jedem fall formatieren. du sagst jetzt es reicht zu checken ob die änderungen vorgenommen wurden. könnte mal einer von euch den vorschlag des anderen kommentieren??? ich will weder mit kanonen auf spatzen aber auch nicht mit der schreckschuss pistole auf ein mammut losgehen…

danke nochmal!!!

1. wie hoch ist die wahrshceinlichkeit dass der wurm einen für
   mich spürbaren schaden anrichtet wenn ich den rechner ein paar
   tage weiterbenutze bis ich an den externen speicher komme???

Um die Frage zu vervollständigen: wie hoch ist die Wahrscheinlichkeit, dass der Wurm einen spürbaren Schaden für andere anrichtet?

Gruß,
Stefan

ja ich war quasi live dabei wie auf einmal avg aufpoppte,
anzeigte was es entdeckt hat und die datei (zweimal eine
soundso exe) in die virenquarantäne verschoben hat. ich habe
übrigens nix heruntergeladen, war auch auf keiner dubiosen
seite sondern einfach online als die datei erschien.

Entweder ist dein Rechner unmittelbar von aussen angreifbar - was er nicht sein dürfte, wenn er hinter einem Router hängt und dort nicht als ‚DMZ‘ eingetragen ist oder Portforwards auf ihn eingerichtet sind - oder das Schadprogramm ist in Folge einer deiner Aktionen, möglicherweise über eine Lücke in einer Browserkomponente auf den Rechner gelangt.

Für uns ist der Infektionsweg nicht zu erkennen, das absolute Minimum an Information wäre die detaillierte und exakt wiedergegebene Meldung deines Virenscanners. Aus deinem Bericht lässt sich nicht der geringste Rückschluss darauf ziehen, ob der Wurm bereits länger auf deinem System aktiv war und erst jetzt, z. B. aufgrund eines Updates der Datenbank von Avira entdeckt wurde, oder ob ein akuter Infektionsversuch abgewehrt wurde.

zur Sicherheit noch einen Systemscan mit einem zweiten Virenscanner

ok werde ich morgen machn…

Das ist reichlich sinnlos, sofern dieser zweite Scan nicht von aussen erfolgt. Z. B. über die Avira-Rescue-CD

Du kannst leicht überprüfen, ob die
dort angeführten Änderungen bei dir aufgetreten sind.

okay schauen wir mal…

Das mit dem leichten Überprüfen ist so eine nette Schönfärberei. Du müsstest schon wissen, wogegen du prüfst.

Kopien seiner selbst werden hier erzeugt:
• %WINDIR%\svchost32.exe
• %temporary internet
files%\Content.IE5\C5MBSP2B\host[1].jpg

in c:\windows ist keine svchost32.exe, in meinem internet-temp
gibt es keinen solchen ordner und keine solche datei

Diese Informationen beziehen sich m. W. ausschließlich auf AutoIt/b und stammen aus 2006. Bei dir ist die Variate /abnh entdeckt worden, damit sind sie völlig wertlos. Würmer mutieren in Tages-, manchmal in Stundenschritten.

Wenn du nichts gefunden wird, ist die Sache erledigt.

im ernst?? also das sind jetzt relativ wiedersprüchliche
informationen von verschiedenen leuten hier. die einen sagen
mir ich soll den rechner sofort vom netz nehmen und in jedem
fall formatieren.

Eine Meldung eines Virenscanners stellt zunächst lediglich einen Grund dar, die Situation zu prüfen. Diese Prüfung erfordert zuallererst den Wortlaut der Meldung des Scanners, ohne den ist eine Bewertung nicht möglich. Du solltest also mindestens diesen und deine weiteren Rechner nicht aus dem laufenden System heraus, sondern z. B. mit der bereits erwähnten Avira Rescue-CD prüfen.

Du musst immer auch damit rechnen, das ein Scanner einen Fehlalarm mitteilt, dass absolut nichts vorgefallen ist. Das zu prüfen sollte auch jetzt noch möglich sein, indem du die beiden bemängelten Dateien aus der Quarantäne befreist und bei http://www.virustotal.com/de/ hochlädst.

Gruß

Hallo,
wir haben es hier einerseits mit Fakten und andererseits mit Vermutungen zu tun. Nach dem was über den Virus bekannt ist, hat er nichts angerichtet. Die Vermutung, dass er eventuell mutiert ist, ist nicht bewiesen, aber nichts ist natürlich unmöglich! Ich glaube aber, dass das Restrisiko so klein ist, dass man damit Leben kann, andere bewerten das eben anders. Insofern sind die hier gemachten Äußerungen kein Widerspruch. Du musst für dich abwägen, was du machen musst, also aus allem das entnehmen, was für dich sinnvoll scheint.
Natürlich kann durch das Neuaufsetzen eines System das Restrisiko weiter vermindert werden, ich weise aber in diesem Zusammenhang, wie bereits hier schon einmal geschehen, darauf hin, dass man dann, um ganz sicher zu gehen, das System auch nach versteckten Partionen untersuchen muss. Das Neuaufsetzen kostet mitunter viel Zeit und auch Datenverlust bedeuten; wer aber im Vorfeld seine System- und Anwenderdaten klug gesichert hat, für den ist ein Neuaufsetzen eine einfache Geschichte.

Grüße Culles

Für uns ist der Infektionsweg nicht zu erkennen, das absolute
Minimum an Information wäre die detaillierte und exakt
wiedergegebene Meldung deines Virenscanners.

okay ich habe mal hochgeladen was ich in der history noch finden kann…

http://img4.abload.de/img/wurmfxqu.png
(bei den lücken im pfad habe ich was rausgelöscht - ist ein ganz normaler ordner)

kannst du daraus was erkennen???

Das ist reichlich sinnlos, sofern dieser zweite Scan nicht von
aussen erfolgt. Z. B. über die Avira-Rescue-CD

habe ich gemacht. war etwas schwierig weil mein monitor rumgezickt hat („no signal“ usw.) … habe es dann über folgenden befehl gemacht

antivir --allfiles -s -z -ren /mnt/

dabei hat er alles gescannt und dabei 0 alerts und 0 suspicious gefunden, also nichts. war das korrekt?? kann ich jetzt davon ausgehen das der rechner wieder sauber ist???

Du musst immer auch damit rechnen, das ein Scanner einen
Fehlalarm mitteilt, dass absolut nichts vorgefallen ist.
Das zu prüfen sollte auch jetzt noch möglich sein, indem du die
beiden bemängelten Dateien aus der Quarantäne befreist und bei
http://www.virustotal.com/de/ hochlädst.

kann ich gerne machen aber gehe ich da nicht ein risiko ein dass die dateien wieder schaden anrichten??

danke nochmal an dich!!!

dabei hat er alles gescannt und dabei 0 alerts und 0
suspicious gefunden, also nichts. war das korrekt?? kann ich
jetzt davon ausgehen das der rechner wieder sauber ist???

Davon würde ich ausgehen.

kann ich gerne machen aber gehe ich da nicht ein risiko ein
dass die dateien wieder schaden anrichten??

Nein. Von sich aus richtet keine Datei Schäden an, sie muss schon ausgeführt werden. Allerdings ist die Gefahr eines versehentlichen Doppelklicks natürlich immer gegeben.

Andererseits erübrigt sich dieser Schritt, da der Speicherort und der Name der Datei sehr eindeutig darauf hinweisen, dass hier kein Fehlalarm vorliegt.

Bleibt die Frage, wie der Wurm auf dein System kam. Hast du Browser, Flashplayer, Adobe Reader u. ä. auf aktuellstem Stand? Wie sieht’s mit ICQ oder ähnlichen Messengern aus?

Gruß

dabei hat er alles gescannt und dabei 0 alerts und 0
suspicious gefunden, also nichts. war das korrekt?? kann ich
jetzt davon ausgehen das der rechner wieder sauber ist???

Davon würde ich ausgehen.

das ist gut… danke. dann geh ich mal davon aus dass jetzt wieder alles ok ist!

Bleibt die Frage, wie der Wurm auf dein System kam. Hast du
Browser, Flashplayer, Adobe Reader u. ä. auf aktuellstem
Stand? Wie sieht’s mit ICQ oder ähnlichen Messengern aus?

eigentlich aktualisiere ich alles so bald es schreit … nur der miranda messenger war am tag der infektion nicht up to date weil ich es noch nicht geschafft hatte das aktuelle update zu installieren

andere theorie: an dem rechner war ein handy (nokia mit symbian) dran als der wurm angezeigt wurde. kann es sein das der wurm von dort gekommen ist oder wenn nein kann es sein das das handy den wurm abbekommen hat - wie kann ich das handy virenchecken ohne dass es einen rechner den ich anschliesse direkt wieder infiziert??? kann symbian überhaupt was mit windows würmern anfangen? vielleicht sollte ich die frage im handybrett stellen…

andere theorie: an dem rechner war ein handy (nokia mit
symbian) dran als der wurm angezeigt wurde. kann es sein das
der wurm von dort gekommen ist oder wenn nein kann es sein das
das handy den wurm abbekommen hat

Das ist ein Thema, mit dem ich mich noch nicht näher beschäftigt habe. Grundsätzlich gilt, dass, wenn du eine Kommunikation zw. Handy und PC etablieren kannst, natürlich auch Schadprogramme übertragen werden können. Ich halte das aber für (derzeit) nahezu beliebig unwahrscheinlich, m. W. hat es derartige Fälle noch nicht gegeben.

• wie kann ich das handy
  virenchecken ohne dass es einen rechner den ich anschliesse
  direkt wieder infiziert???

Damit das Handy den PC infiziert, müsste ein Schadprogramm eine Sicherheitslücke im Handy und gleicheitig eine Sicherheitslücke in der PC-Komponente der Kommunikationssoftware ausnutzen. Als Konzept halte ich das für sehr interessant, glaube aber nicht, dass soetwas bereits realisiert wurde.

kann symbian überhaupt was mit
windows würmern anfangen?

Wenn nicht Symbian oder Windows, sondern das zur Kommunikation zw. beiden benötigte Programm angegriffen wird, ist es durchaus denkbar, dass ein Windows-Wurm einen Symbian-Virus huckepack mitbringt und vice versa. Aber das ist - denke ich - graue Theorie. Falls ich in dieser Hinsicht jedoch was verpasst haben sollte, bin ich für einen Hinweis dankbar.

Gruß

Ich halte das
aber für (derzeit) nahezu beliebig unwahrscheinlich, m. W. hat
es derartige Fälle noch nicht gegeben.

heisst anders formuliert: ich kann deiner ansihct nach das handy wieder ohne besorgnis dran stecken???

Wenn nicht Symbian oder Windows, sondern das zur Kommunikation
zw. beiden benötigte Programm angegriffen wird, ist es
durchaus denkbar, dass ein Windows-Wurm einen Symbian-Virus
huckepack mitbringt und vice versa. Aber das ist - denke ich -
graue Theorie.

hm … mir wäre es halt lieber das handy mal zu scannen aber erstens weiss ich keinen virenscanner mit dem das möglich ist (oder geht das einfach mit avg und co?), zweitens weiss ich nicht wie/ob man das handy anschliessen kann ohne dass direkt wieder ne datenübertragung möglich ist… wäre eine lösung das handy unter einem anderen betriebssystem (apple, linux) das mit dem wurm nichts anfangen kann dranzuklemmen und so auf viren zu checken?? oder erkennt der scan von der avira rescue cd das handy als laufwerk und kann es scannen wenn ich es anschliesse und dann von der cd boote??? ich möchte halt nix falsch machen…

Falls ich in dieser Hinsicht jedoch was
verpasst haben sollte, bin ich für einen Hinweis dankbar.

ich hab die frage tatsächlich auch mal im brett „Mobilfunk“ gestellt … vielleicht gibt es da jemand der experte für handyviren/würmer ist und noch mehr dazu sagen kann

thx für deine ausführungen

Ich halte das
aber für (derzeit) nahezu beliebig unwahrscheinlich, m. W. hat
es derartige Fälle noch nicht gegeben.

heisst anders formuliert: ich kann deiner ansihct nach das
handy wieder ohne besorgnis dran stecken???

Ja.

hm … mir wäre es halt lieber das handy mal zu scannen aber
erstens weiss ich keinen virenscanner mit dem das möglich ist
(oder geht das einfach mit avg und co?),

Sowas gibt’s schon: http://www.pcwelt.de/start/sicherheit/archiv/107559/…

zweitens weiss ich
nicht wie/ob man das handy anschliessen kann ohne dass direkt
wieder ne datenübertragung möglich ist… wäre eine lösung das
handy unter einem anderen betriebssystem (apple, linux) das
mit dem wurm nichts anfangen kann dranzuklemmen und so auf
viren zu checken?? oder erkennt der scan von der avira rescue
cd das handy als laufwerk und kann es scannen wenn ich es
anschliesse und dann von der cd boote???

Ich gehe davon aus, dass ein Virenscanner auf einem externen System über Freigaben nie auf das vollständige Symbian-System zugreifen kann. Er wird sich der Schnittstellen bedienen müssen, die die PC-Suite mitbringt. Daher wirst du für eine vollständige Prüfung einen spezialisierten Scanner benötigen.

Ich glaube auch nicht, dass das Handy der Verursacher war, aber probier’s doch einfach mal aus! Dei Antivir sollte bei einem solchen Selbstversuch nicht anders reagieren, als beim ersten mal auch, du kannst also nicht mehr kaputtmachen, als - wenn überhaupt - schon ist.

Gruß