IRC-Wurm!

[Blade]

Hmmm...nun hats mich auch erwischt. Hab mir im IRC einen Wurm eingefangen. Dieser Wurm postet in sämtliche Channels die ich geöffnet habe mit meinem Namen irgendwelche seltsamen Links. Klickt man auf den Link wird der Wurm übertragen.

Habe bis jetzt noch keine Lösung gefunden den Wurm loszuwerden. Virenscan und Deinstallation haben nicht geholfen. Ich denke das es im Moment noch keinen Patch dafür gibt. Aber falls einer von euch nen Lösungsvorschlag bzw. Infos zu dem Wurm hat bitte ich es hier zu posten.

Danke und Gruß Blade

[Rashka]

schau doch mal bei symantec.de vorbei, da gibts nen online Virenscan mit der jeweils aktuellste Virendefinition

Zum Onlinescan (http://security.symantec.com/default.asp?productid=symhome&langid=ie&venid=sym)

Gruß
Rashka

[American]

Kannst du mal genau sagen welcher Wurm es ist? Sprich den namen des Wurms?

Ist es vieleict möglich das der sich beim Start aktiviert von Windows, dann musst Du Ihn im abgesicherten Modus entfernen.

[Blade]

lol...wenn ich das wüsste wie der heißt wäre ich schon ne Ecke schlauer. Ne sorry das kann dir im Moment noch keiner sagen

[American]

Hm, ansonsten kanste nen Scan auch mal hier versuchen:

www.housecall.de

Bin mir nicht sicher, aber glaube der von symantec löscht Infizierte Datein nicht.

[Rashka]

Ne tut er nicht, man wird dann weitergeleitet zu dem entsprechenden Download vom Gegenmittel-Tool

[Blade]

Habe nun einmal das Programm Stinger durchlaufen lassen. Dieses Progi scannt den Computer nach 36 der neusten Viren/Würmer. Stinger hat auch gleich was gefunden. Es ist der W32/Sdbot.worm.gen. Hab ihn nun entfernt. Außerdem hab ich den Autostart(msconfig)-Eintrag svhost entfernt. Die Exe von svhost (system32) wurde am 18.01.04 erstellt, was mir schon sehr seltsam vorkam. Ich hoffe das der Wurm jetzt weg ist. Falls nicht wird man es ja im IRC merken, wenn ich wieder so doofe Links poste   Rashka wird mir dann wohl Bescheid sagen  

Falls jemand das Programm Stinger haben möchte ist hier der DL-Link:
http://vil.nai.com/vil/stinger/

Gruß Blade

[Rashka]

Blade, so oft wie du mich erwähnst.... das muss liebe sein  

Wenn ich jedes mal ein + bekomme wenn du meinen Namen im positiven tippst hab ich morgen +200

Klar sag ich dir bescheid, aber:
Ändere deinen Link auf die Downloadpage!
Ansonsten werden die Böse und wir bekommen Ärger, muss ja nicht oder?

Gruß
Rashka

Nachtrag:
Jo, der link is besser

[Schneekönigin]

Hoi, Ihrs!
Hab den Wurm auch gehabt und wie folgt selbst entfernt:

Guckt aber erst nach, ob die Datei C:\Windows\System32\rundll32 existiert und darin die selben Einträge wie im Mirc zu finden sind - nur NEUEREN Datums !!
Diese neuen Einträge müsst ihr löschen. Geht aber nur, wenn ihr den Auto-Start dieser rundll32 deaktiviert.
Also :

Start - Ausführen - msconfig.exe - Startmenü
bei der rundll32, die in genau diesen o.g. Ordner greift, das Häkchen weg.

Neustart im abgesicherten Modus

In o.g. Ordner gehen und löschen, was löschen geht von den neu angelegten "mirc"-Dateien.
Systemsteuerung - Software - Mirc deinstallieren

Neustart normal Modus

bei mir und zwei Frunden hats geklappt, wir posten keine Links mehr im Chan-Fenster.

Viel Glück, und bitte GENAU lesen, sonst habt ihr später das Falsche gelöscht !

Liebe Grüße

Schneekönigin