Wurmwarnung!!!!! |
Vapo
Laserturmschütze
Dabei seit: 12.09.2002
Beiträge: 66
Herkunft: Bayern, Kreis Rosenheim xdE Allianz: - SDE Allianz: [-KW-]
|
|
|
18.10.2003 01:43 |
|
|
Mori
wg. öffentlichem Aufruf einer Straftat gesperrt
Dabei seit: 08.02.2003
Beiträge: 170
|
|
wer auf den link lanpics036.jpg geklickt bitte fu.exe unter temporary internet files löschen!!!!!!!!!!
<secluded> is 'n TR/Nocheat-2-Wurm
<secluded> schreibt sich in 'n dummy-class-file
das hab ich gehört...
|
|
18.10.2003 01:53 |
|
|
Coloram
Jägergarnisonstechniker
Dabei seit: 04.09.2003
Beiträge: 41
Herkunft: Mama xdE Allianz: -LL- SDE Allianz: JdN
|
|
|
18.10.2003 01:58 |
|
|
morle
Hornissengeschwaderführer
Dabei seit: 13.10.2002
Beiträge: 236
Herkunft: Köbban und Sachsehause xdE Allianz: [RANGER - tEO 4 EVER! - BdS - HoP - TCon - SoK] SDE Allianz: nein danke, hab noch rl =P
|
|
Bei mir findet sich keine solche Datei, trotzdem ist der Virus noch da und wenn ich den Task-Manager öffen, schließt er sofoert wieder!
__________________
Und denkt immer daran:
It's all about nothing
Wait another minute.
Can't you see what this pain has ****ing done to me?
I'm alive and still kickin'.
What you see I can't see...
and maybe you'll think before you speak.
I'm alive for you.
I'm awake because of you.
I'm alive I told you.
I'm awake swallowing you.
Godsmack - Awake
Dieser Beitrag wurde 10.000mal zensiert, zum letzten Mal eben gerade.
|
|
18.10.2003 02:00 |
|
|
vossi
Hornissenlackierer
Dabei seit: 14.10.2002
Beiträge: 25
Herkunft: redman city xdE Allianz: ~DT~
|
|
das ganze problem trifft einen nicht wenn man
a) alternativ software benutzt
(Mozilla, Opera) weil IE einfach nur crap is (imho)
b) die ActiveX Unterstützung ausgeschalten hat
c) nicht jeden mist anklickt
hth vossi
__________________ <insert DT banner here>
~Dreamteam~ Analsonden-Fabriksleiter
|
|
18.10.2003 02:02 |
|
|
VicFontain
Plasmaturmpolierer
Dabei seit: 11.09.2002
Beiträge: 19
xdE Allianz: LEGION | [MyP] | TerHeg | [FG] | DsZ SDE Allianz: NOX | HaVoC | Cyber | gelöscht
|
|
Als kleine hilfe:
http://securityresponse.symantec.com/avcenter/venc/dyn/34750.html
Hier gibts nen check zum durchlaufen lassen
hf und passt nächstesmal besser auf und benutz mal neue mirc versionen *g*
__________________
Zitat: |
<+PaGaPi> nur mal angenommen...wir würden dann dem mav kollen klaun....die würd ich garnich haben wollen
<+PaGaPi> irgendwo hab ich auch meinen stolz ^^
|
|
|
18.10.2003 02:20 |
|
|
Blauzahn
Grünschnabel
Dabei seit: 30.03.2003
Beiträge: 2
|
|
Bin glücklicher opera-user unter 2k und alles funzt noch. Aber mein Router hat ne verbindung zu der friedberger url auf port 80 geblockt.
und im Task-manager seh ich 2x eine svchost.exe laufen. Gehört die zum sys oder kann die nur vom wurm kommen?
|
|
18.10.2003 02:41 |
|
|
Mori
wg. öffentlichem Aufruf einer Straftat gesperrt
Dabei seit: 08.02.2003
Beiträge: 170
|
|
|
18.10.2003 02:52 |
|
|
RaynorNo1
Grünschnabel
Dabei seit: 28.01.2003
Beiträge: 1
xdE Allianz: OutlawZ
|
|
Hier ein paar infos von mir!
Symantec Info
Trailversion von Symantec Antivirus Prof. 2004 (Vorsicht 27 MB groß
Download Link
-----------------------------------
Hab da einen bei mir gehabt!
Lösung kann ich bis jetzt nur norten antivirus empfehlen!
Manuell konnte ich ihn auch löschen! Bin mir aber nicht sicher ob ich ihn komplett raus habe. Daher kann ich nur eins sagen! Schaut in die Registry, welche Programme beim start von Windows gestartet werden. Sucht die Dateien auf eurer Platte! Sollten sie an dem Zeitpunkt erstellt worden sein, als ihr den Link betätigt hat, könnt ihr fast sicher sein, das diese Datei den Wurm bei jedem neustart aktiviert! Für diese Infos übernehme ich keine Gewehr!
Bei mir habe ich folgende Dateien gefunden die sich neu erstellt hatten!
ocx.exe, u.exe, UpdReg.exe, updreg.dll, kl.dll, a.exe und fu.exe!
Aber aufpassen jeder der eine Creativ Lab Soundblaster Karte hat, sollte die Datei Updreg.exe sowieso auf dem Rechner haben. Kontrolliert das Datum. Normalerweise aktuallisiert sich der Soundblaster über die Datei Updreg.exe. Also nicht einfach alles löschen sondern erst alles zwei mal kontrollieren.
Viel Glück!
P.S. Hatte noch einen Bug das sobald ich den Mirc geöffnet hatte, sich der Windows Taschenrechner von Zeit zu Zeit geöffnet hat, kann da einer was zu sagen??
__________________
|
|
18.10.2003 04:09 |
|
|
Lady Sirius
Hornissengeschwaderführer
Dabei seit: 04.12.2002
Beiträge: 216
xdE Allianz: HoP a.D. SDE Allianz: FACT
Themenstarter
|
|
es gibt Alternativen zu Mirc - auch auf Windows
wegen letzter Nacht will ich dann noch Neo danken, der mir die Infos wegen Windows weitergegeben hat (bin derzeit nur noch selten mit Windows 'unterwegs') und den Windows Usern die alles anklicken und die mir somit eine Stunde schlaf gekostet haben ...
__________________ There is a theory that states: "If anyone finds out what the universe is for, it will disappear and be replaced by something more bazaarly inexplicable." There is another theory that states: "This has already happened..."
(THGTTG)
I am Grey. I stand between the candle and the star. We are Grey. We stand between the darkness and the light.
Delenn (Babylon Squared)
in Memory der Ritter der Tafelrunde
|
|
18.10.2003 18:28 |
|
|
Cestus
Hornissengeschwaderführer
Dabei seit: 05.02.2003
Beiträge: 223
Herkunft: Iserlohn xdE Allianz: Real Life SDE Allianz: siehe nde
|
|
die letzte AntiVir-Version findet den Trojaner auch. *grrr* *bekehrte IE-Nutzer - jetzt Mozilla-Nutzer ist*
__________________ Never underestimate the power of stupid people in large groups
GTYHS:
Ces
|
|
19.10.2003 18:45 |
|
|
adTHOR
Hornissenstaffelführer
Dabei seit: 11.10.2003
Beiträge: 129
xdE Allianz: EdH
|
|
das mit dem taskmanager(das der sofort schliesst) hab ich auch, aber sonst eigentlich.. nix is das dann trotzdem dieser wurm?
__________________ Jetzt bist du mit dem Kopf durch die Wand ... Aber was willst du in der Nachbarzelle?
|
|
19.10.2003 21:18 |
|
|
Ascendant
Ehren-DET
Dabei seit: 10.09.2002
Beiträge: 1.024
Herkunft: Dortmund
|
|
Wer nen guten IRC-Client sucht und die Anfälligkeiten von MIRC gerne der Vergangenheit angehören lassen möchte:
http://www.visualirc.net/
Benutze ich schon seit Monaten und bin sehr zufrieden....
Asci
|
|
19.10.2003 21:46 |
|
|
GMJ
Plasmaturmpolierer
Dabei seit: 20.12.2002
Beiträge: 12
Herkunft: Freiburg/BW SDE Allianz: CrL, FACT, invidia, avaritia, DE, TnG
|
|
Zitat: |
Original von Aendy: mirc benutzt leider ie als standardbrowser
|
--> www.google.de --> standardbrowser script mirc
damit sollte recht schnell n Ergebnis gefunden werden.
Eben wegen der Problematik dass IE standardbrowser von mirc ist, hab ich mir das auch besorgt, is hunds einfach.
die Scriptdatei *.mrc ins mirc-Verzeichnis kopieren, load -rs *.mrc
bei dem Script, das ich gefunden hatte, habe ich eine zusätzliche Option im "rechtsklickmenü" um den Standardbrowser auf IE zu legen oder einen anderen Browser ("other"
.
__________________ Never underestimate ur enemy, never overestimate ur ally
|
|
20.10.2003 10:54 |
|
|
|
ööhm, ich will hier niemanden schocken , aber ich hab alle hier erwähnten dateien auch gefunden + ein paar nette Keylogs, unter anderem kb.dll oder keylog.txt , würd jedem raten der den wurm hat oder hatte genaustens zu scannen und sich zur not jede datei mit der "hand" anzuschauen ....
böse sache ...
ach ja die Keylogs wurde ca 2 stunden nachdem ich den wurm eingefangen hatte erstellt ....
MfG BoB
|
|
20.10.2003 12:31 |
|
|
|