Axel18 10 Geschrieben 11. Juni 2003 Melden Teilen Geschrieben 11. Juni 2003 AntiVir gibt mir nach Update folgende Meldung aus: C:\System volume information\_restore{c9ad5bbf-6ef0-4783-92D-248024763ADE}\RP59\A0032761.exe Enthält Signatur des Wurms Worm/SsDrop.P2P.C Die Datei vor „.exe“ zählt dabei mehrfach hoch, es sind also mehrere Dateien befallen. 1 .Wie gefährlich ist der Wurm ? 2. Was mache ich am besten mit ihm 3. kann ich das Verzeichnis "_restore" gefahrlos löschen? Beste Grüße Axel Zitieren Link zu diesem Kommentar
IT-SE 10 Geschrieben 11. Juni 2003 Melden Teilen Geschrieben 11. Juni 2003 This worm, a variant of WORM_SDDROP.A, propagates via the Kazaa and iMesh peer-to-peer file sharing networks. Users may inadvertently download this worm through the file sharing networks. This worm also drops and executes a backdoor detected as BKDR_SDBOT.14176. The backdoor compromises security by allowing remote users to access infected machines. This worm, which runs on Windows 95, 98, ME, NT, 2000, and XP, uses an icon commonly associated with ZIP files. Andy Zitieren Link zu diesem Kommentar
IT-SE 10 Geschrieben 11. Juni 2003 Melden Teilen Geschrieben 11. Juni 2003 löschen unter 98/Me: Terminating the Malware Program This procedure terminates the running malware process from memory. Open Windows Task Manager. On Windows 9x/ME systems, press CTRL+ALT+DELETE On Windows NT/2000/XP systems, press CTRL+SHIFT+ESC, and click the Processes tab. In the list of running programs, locate the process: XMS32.EXE XMS32.TMP.EXE Select the malware process, then press either the End Task or the End Process button, depending on the version of Windows on your system. To check if the malware process has been terminated, close Task Manager, and then open it again. Close Task Manager. Removing Malware Entries from the Registry Open Registry Editor. To do this, click Start>Run, type REGEDIT, then press Enter. In the left panel, double-click the following: HKEY_CURRENT_USER>Software>Kazaa>LocalContent In the right panel, locate and delete the entry: Dir%n% = 012345:%Windows%\sCache32 (Note: %n% is the next available number from 0 to 63. %Windows% is the Windows folder, which is usually C:\Windows or C:\WINNT.) In the left panel, double-click the following: HKEY_CURRENT_USER>Software>iMesh>Client>LocalContent In the right panel, locate and delete the entry or entries: Dir%n% = 012345:%Windows%\sCache32 Close Registry Editor. Andy Zitieren Link zu diesem Kommentar
IT-SE 10 Geschrieben 11. Juni 2003 Melden Teilen Geschrieben 11. Juni 2003 löschen unter W2K/XP: Log on as Administrator. Right-click the My Computer icon on the desktop and click Properties. Click the System Restore tab. Select Turn off System Restore. Click Apply > Yes > OK. Continue with the scan/clean process. Files under the _Restore folder can now be deleted. Re-enable System Restore by clearing Turn off System Restore. Andy PS: Nicht mehr mit den Filesharingtools arbeiten. Bringt nur ärger mit sich. ;) Zitieren Link zu diesem Kommentar
PIC 11 Geschrieben 11. Juni 2003 Melden Teilen Geschrieben 11. Juni 2003 Was zu tun ist, hängt auch von der Bedeutung des befallenen Systems und dem Zeitraum zwischen Befall und Entdeckung ab. Tatsache: Du hast seit ... Tagen/Wochen eine aktive Backdoor auf Deinem System, d. h. ein Hacker hat seither administrative Rechte auf Deiner Maschine - wann immer Du am Netz bist. Falls dieser Rechner ständig am Netz hängt (Firma, DSL etc.), stellt das eine permanente Gefahr dar. Ist der Rechner ein wichtiger Server oder enthält er sicherheitskritische Daten z. B. eines Unternehmens, dann hast Du ein echtes Problem :eek: . Ist es eine private Daddelkiste (darauf lässt die Nutzung der o. a. Filesharingdienste schliessen), ist es "nur" Dein eigenes Problem. Ich habe gerade erst ein Institutsnetz mit einem per backdoor gehackten Domänencontroller in die Hand bekommen - Fazit: DC neu aufsetzen :mad: , da das Ausmass des tatsächlichen und noch möglichen Schadens kaum abzusehen ist, wenn so etwas für einige Wochen unentdeckt bleibt. Und dieser Hacker hatte die Wochen gut genutzt... Ein Hacker kann beliebig Fiesitäten auf so einer Kiste installieren, wenn er etwas Zeit hat. Und nicht alle diese Sachen lassen sich ohne gute Tools ohne weiteres entdecken. Ist die Sicherheit einmal kompromittiert, ist es schwer, ohne Neuinstallationen zu wirklich glaubwürdiger Sicherheit zurück zu kommen. Zitieren Link zu diesem Kommentar
DP1977 10 Geschrieben 11. Juni 2003 Melden Teilen Geschrieben 11. Juni 2003 http://www.trendmicro.com/download/tsc.asp Der Trendmicro System Cleaner. Mein "Lieblingsprogramm" um Viren zu entfernen. Kann ich JEDEM wärmstens empfehlen mal auszuprobieren. Zitieren Link zu diesem Kommentar
Sven Eichler 10 Geschrieben 12. Juni 2003 Melden Teilen Geschrieben 12. Juni 2003 Ich hab sogar den Scanner auf meinen Kisten laufen :D *freu* Eine sich hier anschliessende Frage: Ich bekomme regelmässig die Meldung, dass mein Scanner (bin ebenfalls edonkey-Nutzer) virenähnliche Signaturen in einem ähnlichen Verzeichniss, nämlich C:\System volume information\_restore{..... findet. Er sagt, er habe einen Fehler beim Reinigen, aber kann die Dateien verschieben. Da der Rechner im Moment aber ohne Server läuft, (d.h., er kein wirkliches Verzeichniss hat, wo er das Zeug hinschiebt), die Frage: Wohin kommt denn das Zeug? Ich kann ja auf diesen Ordner nicht zugreifen, da keine Rechte (hat hier nur das System, glaub ich...) Ich bekomme das mit einer Regelmässigkeit, die schon recht nervtötend ist, was also kann ich tun? Ach ja, und nochwas: Was genau ist den das eigentlich für ein Verzeichniss? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.