outbound auf port 1027 -> 137 |
|
|---|---|
|
04.10.2003, 21:46
...neu hier
Beiträge: 4 |
|
 
|
|
|
04.10.2003, 23:22
Member
Beiträge: 813 |
#2
Das sieht nicht gut aus... die Symptome klingen nach Opaserv, könnte aber natürlich auch irgendein anderer, ähnlicher Wurm sein.
Welche Virenscanner hast du probiert? Ladt dir mal TrojanCheck ( http://www.trojancheck.de ) runter, erstelle einen Report und poste ihn hier. __________ "Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen? |
|
|
|
|
05.10.2003, 11:36
...neu hier
Themenstarter Beiträge: 4 |
#3
Super Sache!
Habe mir die Prozesse in Trojancheck angeschaut und den Prozeß "Spees3" im Pfad C:\Windows\ (Speedy.pif) angehalten. Danach war sofort Ruhe eingekehrt. Leider habe ich noch nicht ausprobiert was jetzt alles nicht geht. Auf das Board komme ich jedenfalls. Ich melde mich später noch mal, wenn ich herausgefunden habe, wie man Reports postet.... bis dahin schon mal danke Gruß Holger |
|
|
|
|
05.10.2003, 12:27
Member
Beiträge: 813 |
#4
Folgender Seite kann man (mit etwas Mühe...
 ) entnehmen, dass es sich tatsächlich um eine Opasoft-Variante handelt...:http://www.everyzone.com/info/virus_db/content.asp?seq=307&GotoPage=1 Komisch nur, dass Google auf keiner der bekannten AV-Seiten dazu etwas findet, und die von dir eingesetzten "zahlreichen Virenscanner" auch nix gefunden haben... Du solltest dem TrojanCheck-Report auch entnehmen können, über welchen Autostart-Eintrag des Vieh immer gestartet wird. Diesen Eintrag bitte entfernen. Ach, und du hast eine "Private Message"...  __________ "Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen? Dieser Beitrag wurde am 05.10.2003 um 12:28 Uhr von forge77 editiert.
|
|
|
|
|
05.10.2003, 20:08
...neu hier
Themenstarter Beiträge: 4 |
#5
Problem erkannt, Problem gebannt!!!
Dank der tollen Tools und Hinweise in diesem Board habe ich die Problematik erkannt und das System bereinigt. Antivir hat die Datei Speedy.pif als Wurm erkannt. Man sollte wie gesagt nicht den Fehler machen und sich den Wurm erneut runterladen. (Freigegebene Laufwerke und LAN-Bindung an das DFÜ-Interface.) Vielen Dank Hab ich ja noch mal Glück gehabt... Die Welt ist schlecht, aber alles wird gut! |
|
|
|
|
27.10.2003, 20:25
...neu hier
Beiträge: 5 |
#6
Moin!
Ich möchte das Thema noch einmal wiederbeleben. Ich habe das Ding auch auf meinem 98 (Erste Ausgabe) Rechner. Hatte auch keinen Erfolg mit diversen Virenscannern. Beim Neustart ging auch immer die DFÜ-Verbindung auf. Wie ich auf der Suche nach dem Grund der DFÜ-Verbindung bin, hängt sich mein Rechner aufeinmal auf. Ich mache einen Neustart, und der Rechner fährt seitdem nicht mehr hoch. Er bootet ganz normal, kommt einmal mit dem Win98 Bild, und dann schwarzer Bildschirm mit der Meldung das das Laufwerk c: Schreibgeschützt ist. Nix zu machen! Booten per Startdisk geht noch. Aber ich kann nicht mal ein Dos Virenscanner von Disk starten. Scandisk sagt bei der Oberflächenanalys das ein physikalische Fehler vorhanden ist. Kann das mit dem Wurm zusammenhängen, oder ein blöder Zufall, das sich meine Hard-Disk verabschiedet hat. MfG |
|
|
|
|
28.10.2003, 22:00
...neu hier
Themenstarter Beiträge: 4 |
#7
Hi,
lässt sich der Fehler denn mit c:chkdsk/f/r beheben? Da gibt es viele Möglichkeiten mit defekten Sektoren zu verfahren.... MfG |
|
|
|
|
11.11.2003, 09:37
...neu hier
 Beiträge: 10 |
#8
Hallo,
Volltreffer. Speedy.pif hatte ich mir auch eingefangen, zwei Tage nach Neuinstallation von Win98SE. Die Firewall war noch nicht drauf und schwups war er da. Wahrscheinlich kam er durch ein Windows Scheuentor... Er trug sich in der win.ini mit load=speedy.pif ein. Zur pif gab es auch eine speedy.bat im Windows Verzeichnis. Nach dem nächsten Boot beginnt er zu arbeiten. Bei mir gab es folgende Symptome: - automatischen DFÜ Aufbau konnte ich NICHT beobachten. - Der Wurm schrieb alle paar Minuten auf die Platte. Dadurch ist er mir erst aufgefallen, weil die Platte nicht schlafen ging! - Er schreibt in eine Datei mit auffälligem Namen ("Pedro!" oder so) im Windows Verzeichnis, erkennbar am Datum(!), irgendwelche Daten, encryptet. Möglicherweise will er diese dann irgendwann mal absenden. - Er infiziert alle exe und dlls, die ausgeführt werden. - Die Registry soll voll auch verseucht werden. Ich haben dann AntiVir drüberlaufenlassen. Es konnte ihn zwar nicht beseitigen, aber hat 100te von Dateien gefunden, die schon verseucht waren. Selbst mein Windows Install Verzeichnis war größtenteils infiziert... Dann habe ich die harte Lösung gewählt: HD formatiert und Win neu aufgespielt. :-( Ich habe dann später zu "Opaserv.Y" im Internet dazu was gefunden bei Panda: [url=" http://us.pandasoftware.com/about/press/viewNews.aspx?noticia=4193"]->Hier! <-[/url] Das hilft zwar nicht konkret, aber vielleicht indirekt. Good luck XT-Matz (jetzt nur noch mit Firewall...) -- Achja: gehe mal in Win98 Netzwerkumgebung | Eigenschaften | TCP/IP->aufDFÜ | Bindungen: Dort "Datei- und Druckerfreigabe" deaktivieren!!!!!!!! (war bei mir automatisch aktiv nach Installation) |
|
|
|
|
26.01.2004, 15:36
...neu hier
Beiträge: 1 |
#9
hi ihrs! ich bin derzeit bei nem praktikum in nem ingenieur-büro...wir haben seit heute leider das problem, dass irgendwie einer rechner, oder vlt auch der server und der dritte rechner mit einigen viren befallen sind! auf dem rechner wo wir die viren bereits erkannt haben befinden sich die viren:
Trojan.JS.Seeker-based W32/Opaserv.worm.E Worm.Win32.Opasoft.e Worm.Win32.Opasoft.p wir haben jetzt F-Secure und Norten AV 2001 drüberlaufen lassen, aber von 18 infizierten dateien konnten nur 2 gelöscht werden, die anderen 16 sind noch vorhanden und können nicht gelöscht werden! Hinzu kommt noch, dass wie bereits oben schon mal vorgekommen, die dateien win.ini und speedy.bat die ganze zeit von norton als infiziert und gelöscht meldet, diese nachricht aber bereits 5x oder so vorkam...! kann mir evtl. jmd helfen?! wenn ihr was wisst darüber, schreibt mir bitte ne mail an brotvieh@aol.com!!! gruß Zero |
|
|
|
|
26.01.2004, 17:01
Moderator
Beiträge: 7805 |
#10
Puh! Verrate jetzt nur nicht den Namen deines Praktikums Betriebes, der bekommt sonst keinen Auftrag mehr!
 Das was du da beschrieben hast ist *GROB* Fahrlaessig. Ich werde den Teufel tun und da irgendwelche Tips geben(und du solltest es auch nicht machen!), was ihr braucht ist ein Fachmann. Nur soviel, ich denke es wurden Backups gemacht? Wenn wider erwartend das nicht der Fall sein sollte, muss das sofort nachgeholt werden. Ein infiziertes Backup ist besser als keins. Wenn ihr so mutig seit, dann sucht mal mit Hilfe von google nach opasoft oder sucht auf den Seiten von F-secure/Norton oder Mcafee nach cleanern fuer die Malware. __________ MfG Ralf SEO-Spam Hunter |
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
wundere mich, warum mein PC immerzu Packete ins Netz (per DFÜ) unaufgefordert sendet. Im Klartext scannt er Unmengen an Netzsegmenten im Internet ab. Mit einem PacketSniffer habe ich mir die Sache angeschaut. Schön der Reihe nach z.B. 68.123.55.1 ...... 68.123.55.255 usw. bekommen jeweils ein Packet mit undefinierbaren Inhalt geschickt. Manche unglücklichen antworten sogar. Das sieht immer gleich aus. Ich starte den PC nach einiger Zeit kommt dann die DFÜ-Anforderung. Diese starte ich und nach 1 Minute wird begonnen die Connections zu starten.
System: Win98SE / IE 6.0 / Norton AV Corporate-Edition 7.5
Vorfälle:
-Vorbelastung mit Opaserv (Removal Tool von Symantec)
-Virus in srcsrv.exe, Brazil.pif, win.ini usw. wurde entfernt.
-zahlreiche Virenscanner angewendet (keine V. gefunden.)
-Netbios wie hier im Board beschrieben eingestellt.
Was kann ich hier noch tun?
Brauche ich den Port 1027?