Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Problem: Win32.Netsky.Patmm

Mitglied: operator

operator (Level 1) - Jetzt verbinden

04.03.2006, aktualisiert 05.03.2006, 5566 Aufrufe, 6 Kommentare

Hallo liebe Community,

seit einigen Tagen habe ich ein Problem mit dem Wurm Win32.Netsky.P@mm.
Es ereignete sich folgendes, ich nutzte das E-Mail Programm Mozilla Thunderbird und bekam eine Mail
von irgendwoher mit Betreff: I atteched your document. Es war ein Anhang einer zip-Datei mit dabei.
Selbstverständlich hab ich ihn nicht geöffnet. Das Fatale an der Geschichte ist jedoch dass mein Viren-Scanner
BitDefender 8 nicht mit Thunderbird kooperierte. Das heisst er prüfte keine Einkommenden E-Mails.

Mein Vorgehen war nun folgendes:
Ich löschte die besagte E-Mail, installierte Outlook Express und übertrug meine Adressen. Anschließend scannte
ich mein System mit BitDefender 8, dieser fand den bereits genannten Wurm im Verzeichnis von Thunderbird und
ließ sich von der AV-Software nicht löschen (Es kam zwar die Meldung dass das Virus gelöscht wurde, bei erneutem
Scan wurde dieser jedoch im gleichen Verzeichnis wieder gefunden).
Darauf hin deinstallierte ich Thunderbird nun ordnungsgemäß und gründlich. Bei erneutem Scannen wurde der Wurm
auch nicht mehr gefunden. Ich erhalte aber seit dem täglich eine E-Mail mit immer wechselndem Sender, meine AV
Software erkennt aber immer sofort den Wurm und löscht diesen.
Ich erkundigte mich im Netz was dieser Wurm überhaupt genau ist und welchen Schaden er verursacht. Ich weiß nun
dass er eine Art Massenmailing verursacht und der eigentlich Schaden relativ gering ist. Ich löschte einige Registry-Einträge die meines Wissens nach von dem Wurm ausgingen. Säuberte mein System mit Anti-Spyware
und scannte es mehrmals mit BitDefender 8. Ich lud mir des Weiteren diverse Programme (Stinger, Symantec und BitDefender) zum entfernen der Netsky Variante aus dem Netz und säuberte nochmals unter abgesicherten Modus, es wurde jedoch nichts mehr gefunden. Meiner Meinung nach dürfte mein System relativ sauber sein, da ich auch ansonsten meinen Rechner sehr pflege.
Allerdings erhalte ich noch immer mind. einmal am Tag ein Mail mit diesem Wurm. Wenn jemand eine Idee oder Lösungsmöglichkeit weiß, bin ich wirklich dankbar.

PS: Ich vergaß zu erwähnen dass ich Win XP mit Service Pack 2 verwende.

Gruß operator
Mitglied: cykes
04.03.2006 um 17:27 Uhr
Hi,

Du könntest Dir zur Sicherheit noch eine Windows PE Boot CD mit BartPE erstellen und
darin einen aktuellen Virescanner und eventuell noch Spybot S&D integrieren, dann mit dieser
CD das System starten udn nochmal alle Festplatten(partitionen) scannen.

Ich würde allerdings auch sagen, nachdem wie Du das oben vbeschrieben hast, dass
Dein System sauber ist.

Gegen die (verseuchten) EMails kannst Du wenig machen, ausser allen Deinen Bekannten
(oder Kunden) bescheidsagen,d ass sie mal ihre Systeme gründlich checken sollen.
Der Wurm liest halt aus Outlook oder anderen EMail Programmen die Kontakt-Daten
aus und mailt sich an alle gefundenen EMail-Adressen, wenn er aktiv ist.

Gruss

cykes
Bitte warten ..
Mitglied: operator
04.03.2006 um 19:02 Uhr
Danke erstmal für die schnelle Antwort. Ja, dein Vorschlag ist nicht schlecht.
Mich wundert allerdings noch immer warum ich nun täglich solche Mails erhalte.
Ich habe meine E-Mailadresse seit vielen Jahren und hatte bis jetzt noch nie Probleme. Diese Häufung ist nun wirklich komisch. Ich hab mir die Funktionsweise des Wurms überlegt. Irgendwoher muss die tägliche Aktion ja gestartet werden.
Eigentlich kann es ja nur jemand aus dem Bekannntenkreis sein da ich mit meinen Daten sehr penibel umgehe. Wisst ihr wie das mit dem Absender ist? Ist das definitiv die Adresse von der der Wurm aus gesendet wurde, oder eine gefälschte?
Die Adressen von denen ich die Mails bekam, sind alle weltweit und mir nicht bekannt. Hätte ansonsten noch den Verdacht dass ich nun auf irgendeinen dämlichen Verteiler stehe und diese Mails noch lange Zeit erhalten könnte. Was mich persönlich schon stören würde. Komisch ist auch warum ich immer den selben Wurm erhalte. Dieser ist ja auch schon seit, denke ich, 2004 bekannt. Alles recht mysteriös. Wenn sonst noch jemand Vorschläge hat, bitte.

Gruß operator
Bitte warten ..
Mitglied: cykes
04.03.2006 um 19:16 Uhr
Naja, das ist auch gleich die Erklärung, Du wirst relativ vielen Leuten Deine Adresse gegeben
haben, udn wenn sich einer von denen diesen oder einen anderen Wurm eingefangen
hat, bekommst Du halt von demjenigen ständig die Mails (kann ja sein, dass er/sie es gar nicht
weiss ..). Wenn Deine EMail-Adresse zusätzlich noch auf irgendeiner Webseite frei zugänglich sein sollte, kann es auch daran liegen, viele Würmer holen sich auch Adressdaten aus dem www.

Gruss

cykes
Bitte warten ..
Mitglied: operator
04.03.2006 um 19:43 Uhr
Hm, wie gesagt ich gehe sehr penibel mit meinen Daten um, sprich nichts von mir ist öffentlich zugänglich. Die Funktionsweise von "Crawlern", also sprich von code der sich selbständig macht um in den Weiten den Nets nach E-Adressen ausschau zu halten, ist mir bekannt. Jedoch aufgrund meiner "neurotischen" Datenschutz-Vorsicht, schwer vorstellbar
Aber sicherlich, deine Antworten sind natürlich logisch. Ich hab soeben ein Rundschreiben an meine Mailkontakte verschickt, mit einer Anleitung wie jeder bei Interesse sein System überprüfen kann.
Werde jetzt einfach mal abwarten was in den nächsten Tagen so passiert.
Vielen Dank für deine Ratschläge, cykes!

Gruß operator
Bitte warten ..
Mitglied: Boskowar
05.03.2006 um 15:39 Uhr
Hallo operator,

du schreibst, daß du den Virus nicht löschen kannst. Da läßt sich nur vermuten, daß dieser Virus sich in einen Systemwiederherstellungspunkt von Windows ( da du nicht geschrieben hast welches BS du benutzt, gehe ich von XP aus) geschrieben hat. Diese Dateien werden von einigen Virenscanner aufgrund mangelnder Recht nicht durchsucht. Diese Dateien findest du unter den/m Ordner/n "System Volume Information". Diese Ordner mußt du für Administratoren freigeben, erst dann kannst du dir den Inhalt anzeigen lassen und auch löschen.

Laß mal deinen Virenscanner mit diesen Einstellungen laufen. Ich könnte fast wetten, daß er im besagten Ordner den Virus nochmal entdeckt.

Gruß

Ralph
Bitte warten ..
Mitglied: operator
05.03.2006 um 16:24 Uhr
Hallo Ralph,

danke für den Hinweis. Den Virus den ich nicht löschen konnte befand sich in den Konfigurationeinstellungen von Thunderbird. Das ist schon erledigt. Ein Virus wird definitiv nicht mehr gefunden.
Den Ordner "System Volume Information" hab ich schon vorsorglich bei meiner Desinfektionsmaßnahme gelöscht. D. h. dieser ist aktuell leer.
Hab heute noch mal stundenlang meinen Rechner durchgearbeitet, bin mir jetzt wirklich ziemlich sicher dass dieser clean ist.
Warte jetzt einfach mal ab, was mit den Mails so passiert. Heute bekam ich noch keine.
Danke jedoch für eure Unterstützung!

PS: Mein OS nannte ich in meinem ersten Beitrag (Win XP), siehe PS dort

Gruß operator
Bitte warten ..
Ähnliche Inhalte
Visual Studio

VBScript und WMI (Win32-NetworkAdapterConfiguration)

gelöst Frage von MaxMoritz6Visual Studio3 Kommentare

Hallo! Ich möchte mit dem foldenden Script einige NIC-parameter anzeigen lassen: strComputer = "." Set objWMIService = GetObject("winmgmts:" & ...

Windows 8

Viele TAP-Win32 Adapter OAS

Frage von HomhomWindows 86 Kommentare

Hallo, bei mir installieren sich "TAP-Win32 Adapter OAS" ständig neu. Diese gehören normalerweise zu OpenVPN. Nur hab ich das ...

Visual Studio

Frage zur WMI Klasse Win32 ShadowStorage

gelöst Frage von emeriksVisual Studio4 Kommentare

Hi, kennt jemand den Unterschied in der Bedeutung der Werte AllocatedSpace, MaxSpace und UsedSpace der WMI-Klasse Win32_ShadowStorage? ("_" im ...

Windows Server

exe per Taskplaner - 1 ist keine zulässige win32-anwendung

gelöst Frage von xbast1xWindows Server3 Kommentare

Hallo zusammen, ich möchte auf einem Windows 7 Client und später auf einem 2008er Server ein Tool mittels .exe ...

Neue Wissensbeiträge
Vmware
VMware Update für den ESXi 5.5 verfügbar
Information von sabines vor 21 StundenVmware

Nach dem ganzen Hickhack um Update mit Microcode Anpassungen und Rückzug, gibt es nun für den ESXi 5.5 ein ...

CPU, RAM, Mainboards

Meltdown und Spectre: Intel zieht Microcode-Updates für Prozessoren zurück

Information von keine-ahnung vor 1 TagCPU, RAM, Mainboards6 Kommentare

Moin, extrem lutztig. Nur gut, dass ich noch nicht beim Probanden-Bingo mitgemacht habe :-) LG, Thomas

Router & Routing
PfSense als Addon auf QNAP
Information von magicteddy vor 1 TagRouter & Routing7 Kommentare

Moin, für Spielereien eine ganz nette Idee aber ich fürchte das soetwas auch als echte Firewall genutzt wird: In ...

Datenschutz

Teamviewer kommt für IoT-Geräte wie den Raspberry Pi

Information von magicteddy vor 1 TagDatenschutz1 Kommentar

Moin, jetzt werden IoT Geräte endgültig zur Wanze? Anscheinend kann man auf einem Dashboard seine Geräte visualisieren Ich stelle ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Preis für Wartungsvertrag ok?
gelöst Frage von a-za-zNetzwerkmanagement26 Kommentare

Hallo! Mal ne Frage, weil ich mich mit dem akzeptablen Preis für einen Reaktionszeitvertrag nicht auskenne. Meine Firma hat ...

Windows Server
TEMP-Profile
gelöst Frage von Forseti2003Windows Server21 Kommentare

Guten Morgen, wer kennt sie nicht, die lieben Temporären Benutzerprofile, vorallem immer dann, wenn man sie am wenigsten braucht. ...

Multimedia & Zubehör
Welches Tablet für die Verkäufer?
Frage von Hendrik2586Multimedia & Zubehör16 Kommentare

Guten Morgen meine Lieben, vielleicht könnt ihr mir ja helfen. Es geht um unsere Außendienstmitarbeiter /Verkäufer. Sie sollen demnächst ...

LAN, WAN, Wireless
100m+ Leitungslänge Ethernet
gelöst Frage von Ex0r2k16LAN, WAN, Wireless16 Kommentare

Guten Morgen zusammen, ich habe eine Netzwerkdose die die 100m Leitungslänge bis zum Switch knackt. Damit die Verbindung einigermaßen ...