Archivübersicht
| Impressum
THEMA: Virus BDS/VirtualRoot
5 Antwort(en).
Ernst
begann die Diskussion am 29.05.03 (19:51) mit folgendem Beitrag:
installiert sich auf mehreren meiner Laufwerke nach nahezu jedem Internetstart. Ich lösche die ihn enhaltende Datei C:\EXPLORER.EXE (hat absolut nichts mit dem echten Explorer zu tun) mit Hilfe von AntiVir. Ich denke, daß er sich aus meinem System generiert, vermag aber nicht den Ursprung zu finden.
Fragen: 1. Was macht er? 2. Wie kommt er rein? 3. Wie werde ich ihn endgültig los?
|
RoNa
antwortete am 30.05.03 (07:56):
Ich denke, wenn Du AntiVir einmal gesondert durchlaufen läßt, müßte das Programm ihn finden, falls er sich auf Deinem System eingenistet hat. Also AntiVir-Hauptprogramm updaten und starten.
|
Guitta
antwortete am 30.05.03 (09:32):
Schau mal auf den link unten.
übrigens ist dies der bekannteste Virus, den man sich hilflos bei KaZaa und anderen "Crack" und "Warez" Sites einfängt.
Internet-Tipp: https://www.virus-aktuell.de/frame.php3?artikel=https://www.virus-aktuell.de/foren/messages/1/625.html?
|
schlibo
antwortete am 30.05.03 (13:14):
hallo ernst
benutzt du ein ungepatchtes windows nt? das sieht sehr nach einer infektion mit coderedII aus.
dieser wurm schreibt sich nicht auf die festplatte. er existiert nur im arbeitsspeicher, hat aber diesen trojaner im gepäck. eine genaue beschreibung, ein removaltool sowie eine anleitung zur manuellen entfernung findest du über den unten angegebenen link.
gruß schlibo
Internet-Tipp: https://securityresponse1.symantec.com/sarc/sarc-intl.nsf/html/de-codered.f.html
|
schlibo
antwortete am 30.05.03 (13:33):
hallo ernst
benutzt du ein ungepatchtes windows nt? das sieht sehr nach einer infektion mit coderedII aus.
dieser wurm schreibt sich nicht auf die festplatte. er existiert nur im arbeitsspeicher, hat aber diesen trojaner im gepäck. eine genaue beschreibung, ein removaltool sowie eine anleitung zur manuellen entfernung findest du über den unten angegebenen link.
gruß schlibo
Internet-Tipp: https://securityresponse1.symantec.com/sarc/sarc-intl.nsf/html/de-codered.f.html
|
Ernst
antwortete am 31.05.03 (23:45):
Hallo Danke Euch allen für Eure Tips.
@RoNa Das war ja eben mein Problem, daß der Wurm, trotz regelmäßigem Update von AntiVir, nach fast jedem Internetbesuch bei Neustart wieder auftauchte, wobei er sich mit AntiVir auch regelmäßig entfernen ließ - aber eben nicht dauerhaft. Natürlich habe ich auch Firewall, Spybot und ähnliches, was aber in diesem Falle nichts verhindern konnte.
@Guitta Von Viruslieferanten einschließlich ihrer Verwandten in der Crackz-, Hackz- und Warez-Szene kommt der BDS/VirtualRoot bei mir mit Sicherheit nicht. In letzter Zeit habe ich mich aber viel auf equadorianischen Webseiten bewegt, was aber noch gar nichts besagen muß.
@slibo Dein Hinweis kommt der Wahrheit sehr nahe und Dein Link führt in die richtige Richtung. Inzwischen habe ich herausbekommen, daß sich der Trojaner-Wurm über eine Sicherheitslücke bei Windows 2000 als Spion einschleicht. Gefährdet sind in der Tat nur NT und Win2k. Er findet sich in einer Datei namens EXPLORER.EXE (Größe 8192 B) im Root-Verzeichnis von Laufwerk C: und D:. Da er sich somit vor den normalerweise im Windows-Verzeichnis zu findenden eigentlichen Explorer setzt, schaltet er diesen beim Aufruf aus. Mindestens bis zum Sitzungsende könnte er spionieren, weil AntiVir ihn frühestens beim nächsten Start identifiziert, vorausgesetzt, es ist überhaupt beim Start aktiviert.
Hinweis für eventuell Betroffene: Die Sicherheitslücke läßt sich mittels zweier bei Microsoft downladbarer Security-Updates (q269040_w2k_sp2_x86_de.exe und q300972_w2k_sp3_x86_de.exe) schließen. Das habe ich gemacht und hoffe, damit endlich Ruhe zu bekommen. Link siehe unten. Notfalls kann man auch jede 8KB-Datei namens EXPLORER.EXE im Rootverzeichnis von C und/oder D manuell gefahrlos löschen.
Beste Grüße Ernst
Internet-Tipp: https://www.microsoft.com/Windows2000/downloads/critical/q300972/download.asp
|
|