Achtung WICHTIG: Gefährlicher neuer Internetwurm

vom 02.06.2008, 20:26 Uhr

Im Augenblick scheint ein richtig krasser Wurm herumzugehen, auf den die Virenschutzprogramme und Virenscanner noch nicht anspringen.
Das teuflische hierbei ist, dass er am Anfang recht harmlos aussieht. Bei mir fing es so an:

Ich bekam über ICQ eine Message von einem Kumpel mit dem sinngemäßen Inhalt: "Hey guck mal ich hab dich gefunden:-)" und dahinter war ein Link der auf ein Bild verwies. Als ich das Bild angeklickt habe erschien das Bild einer fetten Frau, ein recht normales Funpic aus dem Internet halt. Nun erfuhr ich am nächsten Tag, dass mein Freund diese Nachricht nicht selbst verschickt hatte, sondern er sich wohl einen Virus eingefangen hatte, der diese Nachricht mit Link an seine Kontaktliste verschickte. Wirkt ja bis hierhin eigentlich recht harmlos: Ein Wurm der nur einen Bilderlink verschickt um andere zu schocken. Da mein ICQ keine automatischen Nachrichten in dieser Art versandte dachte ich anfangs sogar mein PC wäre nicht infiziert. Falsch gedacht.Und so harmlos wie er wirkt ist der Wurm auch nicht - da steckt mehr dahinter: Der Wurm schreibt,wie gesagt im Hintergrund alles mit was ihr tippt (z.b. Passwörter)

Was könnt ihr tun um zu überprüfen ob ihr ihn habt?
1. Öffnet den Taskmanager (Durch gleichzeitiges drücken der Tasten "strg"(ganz links unten), "alt" (links neben der Leertaste) und "entf" (neben der "Enter"-Taste)
2. Im Taskmanager klickt ihr auf "Prozesse" und sucht dort die Dateien "k.exe" und "scvhost.exe"( ganz wichtig: nicht verwechseln mit "svchost.exe", die gehört da nämlich unbedingt hin)
3. Sind diese beiden Prozesse nicht zu finden habt ihr den Virus nicht und könnt euch freuen, habt ihr beide in der Liste geht es weiter mit Punkt 4.
4. Trennt nun eure Internetverbindung und beendet die beiden Prozesse "k.exe" und "scvhost.exe" (Wenn ihr eure Verbindung vorher nicht trennt, starten die Prozesse immer wieder neu)
5. Nun geht auf eurem Computer auf "Arbeitsplatz" -> "C" (bzw. das Laufwerk wo ihr Windows installiert habt)-> Ordner "Windows" -> Ordner "system32"-> Ordner "1088". Hier könnt ihr nun sehen was der Wurm mitgeschrieben hat. Ihr werdet feinsäuberliche Textprotokolle finden über alles was ihr eingetippt habt bei ICQ, in Foren als Passwörter usw. beginnend ab dem Datum an dem ihr euch den Virus eingefangen habt. Schockierend oder?
6. löscht nun den Ordner "1088"
7. Geht auf euren Desktop und klickt auf "Papierkorb leeren"
8. Klickt nun auf "Start", dann auf "Ausführen" und tippt dort "msconfig" ein.
9. Im Menü was nun erscheint geht ihr auf "Systemstart" und entfernt die Haken bei "scvhost.exe" und (falls noch vorhanden) bei k.exe. Danach klickt ihr auf "Ok" und startet euren PC neu, natürlich könnt ihr jetzt auch wieder eure Internetverbindung aktivieren.
10. Der Computer ist nun wurmfrei:-)
11. Ändert nun mal vorsichtshalber eure Passwörter die euch wichtig sind.

» DerDonster » Beiträge: 107 » Talkpoints: 0,23 » Auszeichnung für 100 Beiträge



Hallöchen,

danke für den Hinweis. Ich habe allerdings auch schon mit so einem Virus Bekanntschaft gemacht. Bei mir kam er aber durch den MSN Messenger, aber das war genau der gleiche Trick wie bei dir.

Das Witzige war daran, dass man selbst gar nicht wußte das man einen Virus auf dem PC hat. Mein Mann hatte einen Tag zuvor ein Foto bekommen von seinem Cousin im MSN aber er konnte es nicht öffnen. Er dachte sich eben nichts dabei und am nächsten Tag ging es los. Jeder in meiner Liste beschwerte sich warum ich andauernd irgendwelche Dateien rüberschicken würde. Ich hatte ja keine Ahnung was da los war. Ich hatte dann auch gegooglet und hab dann bemerkt, dass echt viele Leute sich mit dem gleichen Problem rumplagen und so einen Virus haben.

Also neu ist er nicht, nur für dich eher :) Ich hatte ihn damals auch nur mit Hijackthis wegbekommen. Mein Antivir hatte mir gar keinen Virus angezeigt. Seither vertraue ich auch eher dem Hijachtshis und dem Logfile, dadurch hatte ich nämlich die gut getarnte exe.Datei wieder löschen können. Bei mir hatte sich die auch in dem System versteckt. Ich war dann auch echt froh, dieses Teil wieder losbekommen zu haben, denn ich habe ja somit auch andere Leute in meinem MSN gefährdet, die dann widerum auch mit dem Virus zu kämpfen hatten. :lol:

Also am einfachsten ist es natürlich gar nicht solche Dateien anzunehmen, da ist man immer auf der sicheren Seite. Meistens verschickt der ICQ oder der Messenger eben die Nachrichten automatisch.

LG Princess84

Benutzeravatar

» Princess84 » Beiträge: 1034 » Talkpoints: 17,10 » Auszeichnung für 1000 Beiträge


Hallo zusammen,

und was lernen wir daraus? Hört auf auf irgendwelche dubiosen Links zu klicken, davor wurde auch hier schon oft genug im Forum gewarnt, wer das immer noch macht ist selbst schuld.

Liebe Grüße von der
Laufmasche

Benutzeravatar

» Laufmasche » Beiträge: 7540 » Talkpoints: -37,09 » Auszeichnung für 7000 Beiträge



DerDonster hat geschrieben:10. Der Computer ist nun wurmfrei:-)

Guter Witz! Das einzige was man damit bewirkt ist den Wurm temporär unschädlich zu machen, er ist immernoch auf dem Rechner vorhanden da Du nur die Probleme bekämpfst aber nicht die Ursache.

Somit ist der Wurm immernoch eine Gefahr, er muss nur reaktiviert werden was viele schon aus Dämlichkeit fertigbringen!

Benutzeravatar

» Subbotnik » Beiträge: 9308 » Talkpoints: -7,05 » Auszeichnung für 9000 Beiträge



Laufmasche hat geschrieben:Hallo zusammen,

und was lernen wir daraus? Hört auf auf irgendwelche dubiosen Links zu klicken, davor wurde auch hier schon oft genug im Forum gewarnt, wer das immer noch macht ist selbst schuld.

Liebe Grüße von der
Laufmasche


Also diese Antwort finde ich jetzt echt nicht angebracht. Hättest du den Text richtig gelesen, wüsstest du, dass ich keineswegs auf "irgendwelche dubiosen Links" geklickt habe, sondern halt auf einen Link den ich von einem guten Freund per ICQ bekam. Es ist ja nicht so, dass ich sonst wo herumgesurft bin. Nach deiner Logik wären wohl alle Links somit dubiose Links und man sollte garkeinen Link anklicken. Sonst sei man selbst schuld wenn etwas passiert? Hallo? Mal im Ernst: Dann dürfte man gar nicht ins Internet gehen.

@subotnik: Vielen Dank, ich versuche hier eine detailierte Anleitung zu schreiben wie man das Ding loswird und das einzige was du dazu beizutragen hast, ist dass der Wurm immer noch eine Gefahr sei? Also mal im Ernst: Bitte trage doch zum Thema etwas bei indem du Tipps gibst wie man ihn ganz wegbekommt (was er deiner Meinung nach ja nicht ist), oder lass es bleiben. Ich persönlich denke aber, da du dies nicht getan hast, dass du keine Ahnung von dem Thema hast aber mit deinem Post dazu beiträgst, dass sich die Leute trotzdem unsicher fühlen.
Daher stelle ich ganz konkret die Frage an dich: Wie soll der Wurm denn "reaktiviert" werden?

» DerDonster » Beiträge: 107 » Talkpoints: 0,23 » Auszeichnung für 100 Beiträge


Ach mach Dich doch nicht lächerlich - ich geb zumindest keine 08/15 Tipps und versuch dann noch hintenrum dafür um TPs zu betteln.

Wie Du ihn ganz weg bekommst: Indem man die Einträge des Wurms recherchiert, woher sie kamen, wohin sie gingen usw. Schonmal in Logs oder die Registry einen Blick geworfen? Bestimmt nicht, denn davon hast Du sicherlich keine Ahnung, hat ja auch etwas mehr mit Hintergrundwissen zu tun. Alternativ für die die weniger Ahnung haben (Du z. B.): per Rootkit restlos entfernen oder darauf warten dass dieses bald veröffentlicht wird.

Wie der Wurm reaktiviert wird erklär ich Dir mal: Indem man ihn erneut ausführt oder Dateien die er ablegt, ganz große Experten schaffen dass indem sie draufclicken (oder auf eine abgelegte Datei) oder ein Programm öffnen an dessen Prozedur man einfach einen Befehl anhängt der die Datei erneut ausführt. Denn nur als Tipp am Rande: die meisten Cracker rechnen mit diesem Verhalten und dass der Wurm früher oder später durch ein Programm enttarnt wird - also gehrt es zum Standard dass sich ein Wurm neben der Installation in das System auch dadurch eingräbt indem er sich intern verknüpft und sich selbst vervielfältigt - ist auch kein großer Aufwand dass mal einfach mit einzubauen, nur ein paar Zeilen Code mehr.

Mit meinem Post hab ich zumindest nicht die falsche Illusion von Sicherheit geschaffen, denn der Wurm kann sich noch an anderen Stellen als der msconfig bzw. als Prozess einnisten. Nur wenn man den Rechner auch vom Wurm befreit und nicht nur dessen "Nebenfunktionen" eliminiert ist er auch wieder "sicher".

Sinnvoll wäre es außerdem den ominösen Wurm zu benennen (wäre auch ein Zeichen von Ahnung) - denn es mag Dich überraschen, aber es gibt ein paar mehr als einen oder zwei. Dann könnte man als DAU / n00b auch nachrecherchieren welche Dateien abgelegt / angelegt werden nach denen man suchen sollte bzw. welche Einträge er vornimmt außerhalb der msconfig und welche man somit entfernen sollte.

Als Tip: Es handelt sich höchstwahrscheinlich um den TKBot Wurm, Herkunft oft Bilder die auf www.speedyshare.com gehostet werden. Und wenn Du schon fleißig beim Dateien löschen bist, hast Du sicherlich auch daran gedacht das "Bild" zu löschen welches mindestens im Temp Ordner abgelegt wird.

Und aus der Registry hast Du doch hoffentlich auch alle Einträge bezüglich k.exe und scvhost.exe entfernt.

Benutzeravatar

» Subbotnik » Beiträge: 9308 » Talkpoints: -7,05 » Auszeichnung für 9000 Beiträge


9.1 Sicherheitshalber geht ihr nun nocheinmal auf "Start"-> ""Ausführen" und gebt dort "regedit" ein. Nun erscheint der Registrierungseditor von Windows. Hier klickt ihr auf: "Bearbeiten"-> "Suchen" und gebt anschliessend ins Suchfenster "k.exe" und "scvhost.exe" ein. Falls diese Dateien, und zwar nur in genau dieser Schreibform, gefunden werden löscht ihr sie. Achtung: Hier muss man sehr vorsichtig sein, damit man nicht irgendetwas falsches löscht, denn dies könnte fatale Folgen haben! Es muss auch nicht sein, dass sich die Dateien dort nocheinmal finden, man sollte nur zur Sicherheit noch einmal nachschauen.

Ausserdem: Ja tut mir leid, dass ich hier noch keinen Namen nennen kann oder wer den Wurm programmiert hat oder wie der Hund des Programmierers heisst, aber - es wird dich überraschen- die meisten Leute wollen nunmal das ein Problem gelöst wird. Und das können sie mit der Anleitung wunderbar - womit sie ihren Zweck erfüllt haben sollte.

» DerDonster » Beiträge: 107 » Talkpoints: 0,23 » Auszeichnung für 100 Beiträge



Ich glaube man sollte aufjedenfall noch in der Step-by-Step Anleitung erwähnen das es hilfreich sein kann die Systemwiederherstellung auszuschalten, da einige Viren sich darüber wiederherstellen können. In den meisten Fällen wirst du aber kaum um eine Neuinstallation von Windows / Linux / etc. rumkommen, denn wenn der Virus erstmal drin ist verwurzelt er sich überall. Ein Gutes Beispiel dafür sind Viren die z.b. Interne Programme von Windows ersetzen und so gar nicht auffallen. Außerdem gibt es seit einiger Zeit immer mehr "Rootkits" , welche kaum zu enttarnen sind.

lg
w810ijunky :idea:

» Neu-User » Beiträge: » Talkpoints: Gesperrt »


Ach komm, wenn man keine Ahnung hat am besten ruhig sein und lesen lernen (+ verstehen) und trotzdem noch von mir klauen:

Subbotnik hat geschrieben:Als Tip: Es handelt sich höchstwahrscheinlich um den TKBot Wurm, Herkunft oft Bilder die auf www.speedyshare.com gehostet werden. Und wenn Du schon fleißig beim Dateien löschen bist, hast Du sicherlich auch daran gedacht das "Bild" zu löschen welches mindestens im Temp Ordner abgelegt wird.

Und aus der Registry hast Du doch hoffentlich auch alle Einträge bezüglich k.exe und scvhost.exe entfernt.

DerDonster hat geschrieben:9.1 Sicherheitshalber geht ihr nun nocheinmal auf "Start"-> ""Ausführen" und gebt dort "regedit" ein. Nun erscheint der Registrierungseditor von Windows. Hier klickt ihr auf: "Bearbeiten"-> "Suchen" und gebt anschliessend ins Suchfenster "k.exe" und "scvhost.exe" ein. Falls diese Dateien, und zwar nur in genau dieser Schreibform, gefunden werden löscht ihr sie. Achtung: Hier muss man sehr vorsichtig sein, damit man nicht irgendetwas falsches löscht, denn dies könnte fatale Folgen haben! Es muss auch nicht sein, dass sich die Dateien dort nocheinmal finden, man sollte nur zur Sicherheit noch einmal nachschauen.

Den Namen kann man überall nachgooglen wenn man es nicht weiß. Ist ja wohl das mindeste was man erwarten kann. Dazu muss man nur die Dateinamen eintippen - wer etwas mehr Ahnung hat sucht zusätzlich einfach noch nach Teilen des Codes oder wie Einträge vorgenommen werden (steht auch im Code :wink:).

Ansonsten les doch mal nicht nur die ersten drei Sätze, aber war Dir wahrscheinlich zu viel / zu hoch um sich daraus abzuleiten, was man alles tun kann. Und entschuldige, dass ich kein DAU Seminar veranstalte wie man was nun macht, da gibt`s auch genug Anlaufstellen im Netz, da braucht man auch nur begrenzt Ahnung.

Deine Anleitung ist für die Tonne weil unvollständig - Und wo löst sie denn das Problem? Die Ursache besteht weiterhin wenn man so verfährt!

Benutzeravatar

» Subbotnik » Beiträge: 9308 » Talkpoints: -7,05 » Auszeichnung für 9000 Beiträge


Na wenn es TKBot sein sollte kennst Du den Urheber ja wahrscheinlich :wink:, hast doch damals selbst in dessen Thread gepostet auf einem "gewissen Forum" :lol:.

Wenn es TKBot ist würde ich auch noch folgendes checken:
lw:\Program Files\Microsoft\Update\
lw:\Program Files\Microsoft\Update\DLL\
lw:\Program Files\Microsoft\Update\DLL\TK\
lw:\Program Files\Shellext\System\
lw:\Program Files\Shellext\System\tk\

bzw. bei einem deutschen Windows den lw:\Programme\* Ordner - alte Versionen legen aber auch einen Ordner mit den englischen Namen an, lahmes Script eben.

Sowie in der Registry mal bei
SYSTEM\CurrentControlSet\Services\MSTaskMgr
SYSTEM\CurrentControlSet\Services\rundll
nachsehen.

Achso, wie man den wegbekommt, also richtig: Einfach mal TrueSword 4 runterladen oder bei Symantec vorbeischauen - der ist schon lange bekannt und die Programme entfernen den auch mühelos und vor allem: restlos!

P.S. Neu? Aha, das Script dazu gibt`s seit über 4 - 5 Jahren auch wenn es mal teilweise geändert wird - neu sind nur diejenigen die darauf (immernoch) hereinfallen.

» KrashKidd » Beiträge: » Talkpoints: Gesperrt »


Ähnliche Themen

Weitere interessante Themen

^