seit kazaalite hab ich jede menge cracks in windows/usertemp

Alt 04.03.2003, 15:51   # 1
trulla2
 
Registriert seit: 01.03.2003
Beiträge: 18
...und zwar eröffnet sich dieser ordner bei jedem hochfahren neu. braucht ca. 5 min, um voller cracks zu sein (aber woher??? passiert auch bei gekappter netzwerkleitung! und sie sind nirgendwo sonst kopiert, schon gesucht).
diese sind dann jedesmal in kazaa lite wieder freigegeben. kann ich sowohl in kazaa als auch den ordner löschen, so oft ich will, kommt immer wieder.
und die programme, die im hintergrund laut taskplaner laufen, kenne ich alle.

hab den tip erhalten, es handle sich um "cmd32.exe" - allein, mit dem namen habe ich nichts.
gibt's das auch unter anderem namen? kann mir vielleicht jemand helfen?
Wäre prima. danke.
  Mit Zitat antworten
Alt 04.03.2003, 15:51 # --
netzwelt.de
 
Benutzerbild von netzwelt.de
 
 
 
   
Alt 04.03.2003, 17:28   # 2
hyrican
 
Benutzerbild von hyrican
 
Registriert seit: 19.10.2002
Beiträge: 3.109
Hi.Lad dir mal eine Trialversion von TrojanHunter oder TrojanCheck runter(Google findets garantiert).Installieren,updaten,System scannen.Wenn das ein Trojaner/Wurm ist finden diese Proggis den mit hoher Warscheinlichkeit.

hyrican
  Mit Zitat antworten
Alt 04.03.2003, 18:23   # 3
trulla2
Threadstarter
 
Registriert seit: 01.03.2003
Beiträge: 18
trojanhunter findet nichts, und trojancheck zeigt mir zwar brav die laufenden prozesse, aber wie kriege ich raus, welche n i c h t normal sind?
ich hab Win98, und da wären: (also die, von denen ich keine ahnung habe, ob sie normal sind
PROZESSE:
ddhelp.exe
kernel32.dll
mmtsask.tsk
mprene.exe
msgsrv32.exe
mstask.exe
pstores.exe
system32.exe
taskmon.exe
ajq6.exe

AUTOSTART:
scanreg.exe
winampa.exe (ich hab winamp gar nicht mehr!)
taskmon.exe
mstask.exe

Wäre schön, wenn mir Dummy jemand noch weiter halfen könnte...
  Mit Zitat antworten
Alt 04.03.2003, 19:07   # 4
hyrican
 
Benutzerbild von hyrican
 
Registriert seit: 19.10.2002
Beiträge: 3.109
Sieht so aus als wenn du dir den Wurm W32/Kwbot.D eingefangen hast.Soweit ich die Infos auf dieser Seite: http://www.ciudadfutura.com/mundopc/...3/123/v594.htm
verstanden hab sind das die Symptome die du schilderst.allerdings hab ich noch nichts in verständlichem Deutsch gefunden wie man den killt.Ich suche aber weiter.

hyrican
  Mit Zitat antworten
Alt 04.03.2003, 19:29   # 5
hyrican
 
Benutzerbild von hyrican
 
Registriert seit: 19.10.2002
Beiträge: 3.109
Hast du eigentlich keinen Virenscanner?wenn nicht dann installier dir AntiVir Personal Edition von free-av.de.Ist ein sehr guter Freeware-Virenscanner.Sollte den eigentlich erkennen und killen können.Bei Norton und bei Sophos steht jedenfalls eine Signatur zu diesem Wurm drin also sollte es bei AntiVir auch so sein.

hyrican
  Mit Zitat antworten
Alt 04.03.2003, 20:45   # 6
delforcer
...ist anders...
 
Benutzerbild von delforcer
 
Registriert seit: 05.10.2002
Beiträge: 6.103
der von hyri beschriebenen kleine schaedling muesste von allen scannern erkannt werden, der hat schon ein paar tage rum, d.h. er ist bekannt.
ich hatte mal fuer einen user die ganzen infos gesucht, ich glaube des teil ist auch noch unter einem anderen namen bekannt, sofern ich mich da recht entsinne.

del

FTF
  Mit Zitat antworten
Alt 04.03.2003, 21:11   # 7
hyrican
 
Benutzerbild von hyrican
 
Registriert seit: 19.10.2002
Beiträge: 3.109
Den Kwbot gibt es wohl in 4 verschiedenen Variationen,der Tip mit der cmd32.exe war ein Tip für den Kwbot.C wenn ich die Google-infos richtig interpretiere.In Version D ist die cmd.exe in winsys.exe umbenannt und noch andere kleine Änderungen(beziehe mich immer noch auf die Google-ergebnisse).Da ich trotz rund einstündiger Suche nichts zum manuellen entfernen von Kwbot.D gefunden hab empfehle gleichlautend zu allen Tips in Google zum entfernen des Wurms das installieren und updaten einer Antivirensoftware die bei einem Scan des ganzen Systems den Wurm finden und hoffentlich auch killen kann.

hyrican
  Mit Zitat antworten
Alt 05.03.2003, 09:39   # 8
trulla2
Threadstarter
 
Registriert seit: 01.03.2003
Beiträge: 18
...irgendwas ist ja immer.
weder sophos noch antivir finden etwas, und die bei sophos beschriebene explorer32.exe-datei hab ich auch nicht.
  Mit Zitat antworten
Alt 05.03.2003, 11:57   # 9
trulla2
Threadstarter
 
Registriert seit: 01.03.2003
Beiträge: 18
ich vermute ja mal gnaz laienhaft, daß die virenscanner eben nur den a-typ finden, und weiß der himmel, welchen ich habe.
kann ich einfach über trojancheck system32 beenden, oder ist das irgendwie ein wichtiger und normaler vorgang?
und wo zur hölle kommen die ganzen cracks her, auch ohne netzwerk, ich vermute, die sind irgendwo zusammen verpackt, denn weder nach name noch nach größe oder datum kann ich sie sonstwo finden.
ich falle auf die knie, wenn ich das ding je wieder runterkriege.
  Mit Zitat antworten
Alt 05.03.2003, 13:23   # 10
austria123
 
Registriert seit: 01.01.2003
Beiträge: 143
hi trulla2

versuch vielleicht mal im abgesicherten modus hochzufahren [einschalten und F8]
sollten sich diese dinger nicht melden kommen sie am anfang über die autostart rein.

laß wieder von dir hören... :wink:

mfg
  Mit Zitat antworten
Alt 05.03.2003, 14:01   # 11
trulla2
Threadstarter
 
Registriert seit: 01.03.2003
Beiträge: 18
Nachdem ich mit TrojanCheck jetzt 2 von 3 system32-einträgen aus dem autostart herausgenommen habe, und aus den prozessen auch, taucht der ordner usertemp nicht mehr von sleber auf.

ABER: dafür sehe ich jetzt rechts unten neben der Uhr kein einziges Hintergrundprogramm mehr (und da laufen welche!)
und den Wurm bin ich ja wohl immernoch nicht los, oder?
Irgendwo müssen ja die Dateien immer noch sein.

Ist "System32" jetzt eigentlich ein normaler Task, oder kann ich das einfach löschen, auch system32.exe?
Bin ich's dann los?
Und: Äh...wenn das ein Wurm ist - kriegen den dann auch alle meine Mailadressaten??

Um nichts schlauer, nur immer ängstlicher: trulla
  Mit Zitat antworten
Alt 05.03.2003, 14:50   # 12
austria123
 
Registriert seit: 01.01.2003
Beiträge: 143
hi trulla2

geh mal auf start->ausführen und gib msconfig ein und ok.
dort findest du unter "autostart" die programme, die von windows
beim start hochgeladen werden.nicht alle haben ein eigenes
icon im systray!
neben der uhr solltest du aber zumindest noch das lautsprechericon
haben (SystemTray)

wahrscheinlich ist dein "wurm" in einer der nicht angehakten zeilen.

ps: löschen würd ich mal vorläufig nichts, vorsichtshalber...

mfg
  Mit Zitat antworten
Alt 05.03.2003, 15:09   # 13
trulla2
Threadstarter
 
Registriert seit: 01.03.2003
Beiträge: 18
...aber autostart ist leer. wie auch der selbnamige ordner auf c. und das war auch schon immer so.
nein, kein lautsprecher, kein posteingang, kein infrarotport mehr.... seltsam.
und warum zeigt trojancheck immer mehr laufende tasks an als der taskmanager?
und beim hochfahren mit f8 hab ich auch nur wildes gepiepse und fehlermeldungen.
ach, wär ich nur bei meinen leisten geblieben...
gibt es hoffnung, daß es bald hilfe über virenscanner gibt, wenn ich den fleißig weiter über mails verbreite (tu ich das wirklcih?)?
  Mit Zitat antworten
Alt 05.03.2003, 17:16   # 14
austria123
 
Registriert seit: 01.01.2003
Beiträge: 143
hi trulla2

übrigens diese fehlermeldungen wären nicht uninterssant gewesen.

zitat:
...aber autostart ist leer. wie auch der selbnamige ordner auf c. und das war auch schon immer so

also mit msconfig in der autostart nie was drinnen gewesen? bist du dir sicher?

schaut so aus, als ob du dir einiges zerschossen hättest.
möglich wäre noch mit einer bootdisk hochfahren und scanreg.exe /restore
vielleicht findet er einen wiederherstellungspunkt.
ansonsten...

mfg
  Mit Zitat antworten
Alt 05.03.2003, 17:44   # 15
trulla2
Threadstarter
 
Registriert seit: 01.03.2003
Beiträge: 18
ob auch mit msconfig dieser ordner immer leer war, weiß ich nicht. aber alle sonstigen ordner und listen "autostart" waren leer.
sieht so aus, als sollte ich mal schleunigst alle daten sichern und alles neu draufspielen, hab mir nämlich mit trojancheck noch mal schnell ein paar registryeinträge gelöscht (daher die fehlenden icons?), aber, oh wunder, noch funktioniert alles und sogar der lautsprecher ist wieder da.
okay, beim hochfahren hab ich kurz ein dosfenster, und zwei fehlermeldungen ("früher" war das nur eine), aber wie gesagt: der usertemp-ordner bleibt verschollen und eigentlich läuft ja alles noch.

Danke für die vielen Tips, ich sollte wohl besser beim Nägellackieren bleiben...
  Mit Zitat antworten
Alt 05.03.2003, 18:27   # 16
hyrican
 
Benutzerbild von hyrican
 
Registriert seit: 19.10.2002
Beiträge: 3.109
Was mich noch interessieren würde-hast du denn nun ein Antivirenprogramm auf dem Rechner oder nicht und wenn ja welches?

hyrican
  Mit Zitat antworten
Alt 05.03.2003, 18:33   # 17
delforcer
...ist anders...
 
Benutzerbild von delforcer
 
Registriert seit: 05.10.2002
Beiträge: 6.103
also, ich hau mal eineige infos ueber den hier rein. da koennte sich dann eher ne hilfe finden...die hilfen werden meistens auf den seiten engeboten. daher wuerde ich dir raten, erstmal die removetolls zu versuchen.

del

FTF
  Mit Zitat antworten
Alt 05.03.2003, 19:30   # 18
trulla2
Threadstarter
 
Registriert seit: 01.03.2003
Beiträge: 18
@ hyrican: wie gesagt, weder sophos trial noch antivir (natürlich nicht beide gleichzeitig installiert!) finden den Kerl. Weil eben nicht der A-Typ.

mittlerweile erstellt sich der ordner nicht mehr selbst, aber den wurm habe ich sicher immer noch.

denn, @ delforcer: danke, hab ich auch schon alles durch, nur eben immer noch nichts gefunden über von hand löschen - wenn die virenprogramme ja versagen. konnte nur registry-einträge löschen (allerdings sagt trojancheck, explorer.exe vor windows zu haben, sei schon mal scheiße, und ich solle das prüfen - aber so gut kenn ich mich eben doch nicht aus.)

wenn jetzt ja immerhin die dateien verschollen bleiben (wo auch immer...), sollte ich besser komplett alles formatieren und wieder drauf packen, oder kann ich auch mit dem wurm leben, ohne andere zu infizieren?
oder haben damit tatsächlich hacker zugriff auf meinen rechner?
  Mit Zitat antworten
Alt 05.03.2003, 19:36   # 19
delforcer
...ist anders...
 
Benutzerbild von delforcer
 
Registriert seit: 05.10.2002
Beiträge: 6.103
hi,
gleich mla zu anfang, du kannst immer und jeder zeit gehackt werden. nur du bist kein ziel was man hacken koennte, wozu auch.
das einzigste was sinn machen wuerde, ist deinen pc zu einem zombie zu machen. also dein rechner ist nachwievor ganz normal, und bei einem bestimmten zeitpunkt tut er eine aktion, die mit ihm hunderte rechner zu gleich machen, ddos angriffe um beispiel.

Distributed Denial of Service (DDoS)
Analyse der Angriffs-Tools (bsi.de)


zu deiner anderen fragen mit dem sharen und niemanden infizieren wollen, da muss ich erstmal gucken. dazu muss ich wissen wie der fiesling arbeitet!
und die ganzen removetools hatten keine wirkung?
na dann gucke ich mal nach selbstloesch-versuchen!

del

FTF
  Mit Zitat antworten
Alt 05.03.2003, 20:29   # 20
hyrican
 
Benutzerbild von hyrican
 
Registriert seit: 19.10.2002
Beiträge: 3.109
Laut Wurm-info verbreiten sich alle 4 Versionen von W32/Kwbot (also A,B,C und D) im Kazaa-netzwerk indem sie einen Ordner erstellen,für Sharer interessant klingende Dateien reinsetzen und zum Tausch freigeben.Würde bedeuten wenn dieser Ordner nicht mehr erstellt wird kann sich der Wurm nicht mehr verbreiten.Es stimmt mich aber nachdenklich das kein Antivirenprogramm deinen Wurm findet denn auch bei Sophos hab ich gelesen das die eine Signatur für den Kwbot haben(auch für Variante D).
Gut das delforcer interessiert ist,der kann erheblich mehr links auswerten als ich(ich kann leider nur Anfänger-englisch)und außerdem hat er mehr Ahnung als ich(@del-ich will dir nicht schmeicheln sondern rechtfertigen das ich hier nicht weiter helfen kann*grins*).
Ich wünsch dir(Trulla[mei,was für ein Nick,in meiner Heimat bezeichnet man so eine depperte,nervige Frau])viel Glück und hoffe das du deinen Rechner ohne formatieren wieder clean bekommst.

hyrican
  Mit Zitat antworten

Alt 23.04.2014, 20:29 # --
News Flash
 
Benutzerbild von News Flash
 
 
 

Das könnte Dich auch noch interessieren:

Nicht fündig geworden? Dann ohne Anmeldung in unserem Gast-Forum nachfragen.

   
Alt 23.04.2014, 20:29 # --
netzwelt.de
 
Benutzerbild von netzwelt.de
 
 
 
   
Antwort
Themen-Optionen



Alle Zeitangaben in WEZ +1. Es ist jetzt 19:29 Uhr.