PDA

Vollständige Version anzeigen : Virus W32/Nachi.worm.e


Hajo_Zi
23.04.2004, 17:32
Hallo Helfer

meine Schwester hat Ihren Rechner geschützt mit McAfee und automatische Virus aktualisierung.

Jetzt meldet das Programm das die Datei SVCHOST.EXE mit dem Virus W32/Nachi.worm.e verseucht ist.

Löschen und Säubern geht nicht. Quarantäne wird ausgeführt aber bei erneutem Start wird der Virus wieder gefunden.

Im Taskmanager den Prozees SVChost.exe (4x) anhalten führt zu sofortigem Neustart.

Wie bekommt Sie den Virus runter?

Gruß Hajo

PCGURU
23.04.2004, 19:10
Hallo Hajo,

hast du es schon einmal mit FProt versucht. Ist ein Vir-Checker unter DOS.
Damit sollte es eigentlich klappen.
Gruß
PCGURU

Hajo_Zi
24.04.2004, 07:24
Hallo PCGURU

nein dieses Programm habe ich noch nicht benutzt. Meine Suche im Internet nach dem Programm war leider nicht von Erfolg bzw. die Seiten waren nur in englisch.

<img src="http://home.media-n.de/ziplies/images/grusz.gif" align="middle" height="40" alt="Grußformel">
Bitte keine Mail, Probleme sollten im Forum gelöst werden.
Microsoft MVP für Excel
<span style=" font-weight:bold;">Das Forum lebt auch von den R&uuml;ckmeldungen.</span>
Betriebssystem XP Pro und Excel Version XP Pro SP 3
<a href="http://home.media-n.de/ziplies/" target="_blank">
<img border="0" src="http://home.media-n.de/ziplies/images/logo_hajo.gif" align="middle" height="40" alt="Homepage"></a>

PCGURU
24.04.2004, 09:35
Hallo Hajo,

hier der Link zum Download für FPROT:

http://www.pcwelt.de/downloads/utilities/virenprogramme/33781/

Hoffe es klappt damit den Virus zu entfernen.
Gruß
PCGURU

Fussel
24.04.2004, 09:37
Hallo Hajo,

meist gibt es auf der Seite von Symantec (http://www.symantec.de) Dateien, die solche Viren eliminieren. Doch weder Symantec noch TrendMicro kennen diesen Virus, und soweit mir bekannt ist, meckert McAffee immer mal gerne rum. Ich habe dieses Programm früher auch benutzt, hatte aber zum Schluß immer mehr Probleme, so daß ich danach auf Norton Internet Security gewechselt bin, und heute TrendMicro (http://www.trendmicro.de) benutze, welches mir als das zur Zeit beste Paket empfohlen wurde.

Gruß Fussel

Hajo_Zi
24.04.2004, 10:27
Hallo PCGURU

ich habe mir das Programm runtergeladen und ausgeführt. Mein Eindruck war das diie Festplatte C: nicht komplett geprüft wurde. Die Festplatte ist formatiert NTFS. Das Programm ist durchgelaufen und hat keinen Virus gefunden McAfee hat aber wieder gemeckert.

Gruß Hajo

Hajo_Zi
24.04.2004, 10:37
Hallo Fussel

ich benutze auf meinem eigenen Rechner schon seit zig Jahren McAfee und habe bisher damit keine Probleme gehabt. Von Norton bin ich so nicht überzeugt, ein Bekannter von mir hat diesen eingesetzt und der Rechner wurde trotzdem verseucht. In dem Excel Forum in dem ich hauptsächlich bin liest man auch öfter von Problemen mit Norton.

Danke für Deinen Tip, ich möchte aber aus meiner Erfahrung nicht umsteigen auf ein anderes Virus Programm.

Da Du mir geschrieben hast das bei den Anderen der Virus nicht bekannt ist, kann ich vielleicht davon ausgehen das dort McAfee vielleicht spinnt aus welchem Grunde auch immer.

Noch ein schönes Wochenende.

Gruß Hajo

J_Eilers
24.04.2004, 12:53
Hi,

ein bekannter von mir hatte diesen "Robin-Hood-Wurm" auch, du kannst ihn entweder mit AntiVir oder mit avast killen. Wenn du diesen Wurm hast, sollte deine CPU-Auslastung unnatürlich hoch sein (bis 100% konstant) und deine Bandbreite reduziert.
Der Wurm wurde übrigends als 3. schlimmster Wurm des letzten Jahres von MS bezeichnet und hat ein paar nette Geschichten im INet erlebet ;)

Links für die Downloads der Programme findest du in Arne's Thread, da beides FreeWare Programme sind, kannst du sie umsonst downloaden.

HTH

Hajo_Zi
24.04.2004, 13:02
Hallo Jan

das es nicht mein Computer ist muß ich da immer erst hinlaufen. Ich habe mich jetzt für Avast entschieden. Ich melde mich noch Heute Abend zurück, nach dem ich den anderen Rechner Besucht habe.

Du schreibst das der Wurm als 3. schlimmster Wurm des letzten Jahres bezeichnet wurde. Da ist mir dann folgende Aussage schleierhaft.

Doch weder Symantec noch TrendMicro kennen diesen Virus

Noch ein schönes Wochenende.

Gruß Hajo

Fussel
24.04.2004, 14:04
Hallo,

wenn das wirklich der drittschlimmste Wurm ist, wundert es mich aber auch, daß ich diesen mit der Suchfunktion bei Symantec nicht gefunden habe (ich hatte den Namen, den Hajo in seinem Beitrag genannt hat, kopiert), und ihn auch bei TrendMicro in den Virenbeschreibungen nicht finden konnte. Da es sich ja hier offensichtlich nicht um ein neueres Teil handelt, weiß ich auch nicht, was ich von der ganzen Geschichte halten soll. Stimmt der Name denn wirklich so?

Gruß Fussel

J_Eilers
24.04.2004, 14:06
Sorry, die Aussage kommt nicht von mir. Der Wurm ist auch unter anderen Namen bekannt: W32/Welchia.worm10240 [AhnLab], W32/Nachi.worm [McAfee], WORM_MSBLAST.D [Trend], Lovsan.D [F-Secure], W32/Nachi-A [Sophos], Win32.Nachi.A [CA], Worm.Win32.Welchia [Kaspersky]

Und somit bei jedem Scanner bekannt. Und von Symnatec halte ich leider nichts mehr...

Und hier die MS-Seite (http://www.microsoft.com/security/antivirus/nachi.asp) dazu. Dieser Wurm wurde sogar auf Geldautomaten in Amerika gefunden. :D

Ich schaue halt lieber bei Sophos, als bei Symnatec.

zu finden hier (http://www.sophos.de/virusinfo/analyses/w32nachib.html)

Angedacht war er um den DOOM-Wurm zu beseitigen und sich selbstständig zu verbreiten. Es wird alle 20 Minuten nach einer INet-Verbindung gesucht und dann nach einem offen RPC-Port (IMHO 707). Laut offiziellen Aussagen wird sich dieser Wurm im Juli 2004 selbst vernichten.

Hajo_Zi
24.04.2004, 15:54
Hallo

nun einen abschließenden Bericht. Ich habe den Virenscanner installiert und ausgeführt und er hat in mehreren Dateien einen Virus gefunden auch in SVCHOST.EXE im Systemverzeichnis, da Reparatur nicht ging habe ich alle Dateien löschen lassen einschl. SVCHOST.EXE .

Nach neustart war der Leerlaufprozeß wieder bei 99% und Internetzugang ging immer noch. Irgendwo habe ich mal gelesen das dazu die Datei SVCHOST.EXE sehr wichtig ist.

Den Virusnamen hatte McAfee ausgedruckt.

Noch allen ein schönes Wochenende.

Gruß Hajo

J_Eilers
24.04.2004, 16:17
Wofür die EXE verantwortlich ist, kann ich dir nicht sagen (höchstens vermuten). Aber es verhält sich inzwischen auch nicht mehr so, dass die Datei gelöscht wird, sondern meistens nur der Wurm als solcher. Und der Neustart ist wichtig, da dein Rechner nicht ohne die EXE funktioniert. Wenn es jetzt aber wieder alles normal scheint, würde ich deiner Schwester eine Firewall oder einen Router empfehlen. Denn der Wurm kam bei meinem Bekannten leider am nächsten Tag wieder. :(

Arne Dieckmann
24.04.2004, 16:29
Zum Thema "SVCHOST.EXE" und deren Aufgaben hier einmal eine ganz interessante Seite: http://www.pctip.ch/helpdesk/kummerkasten/archiv/win2k/25498.asp. Mit dem dort erwähnten Process Viewer kommt man dem eigentlichen "Benutzer" wohl auf die Spur.

Hajo_Zi
24.04.2004, 16:30
Hallo Jan

meine Informationen zu dieser Datei habe ich aus diesem Beitrag

http://www.herber.de/forum/offtopic/messages/670.html

Das mit dem Wurm will ich mal nicht hoffen. Sie Vermutet ja das Sie sich den Wurm auf irgendeiner Spieleseite geholt hat und Spieleseiten möchte sie jetzt nicht mehr besuchen.

Wird die erneute Virusverseuchung nicht jetzt durch das Programm verhindert???

Gruß Hajo

J_Eilers
24.04.2004, 16:45
Wird die erneute Virusverseuchung nicht jetzt durch das Programm verhindert???

Jein, denn der Virenscanner kann den Virus ja nur finden und melden, wenn er auf dem Rechner ist. Und die intensive Suche danach wird ja nicht immer ausgeführt, sondern nur eine Suche im Hintergrund. Wenn sich der Wurm durch einen EMail verteilen würde, hätte er keine Chance, da avast diesen bei Outlook gleich anmeckern würde. Aber da er sich einfach so über Portscans verteilt ist eine Firewall IMHO das mindeste, was man heutzutage laufen haben sollte. Die bester Lösung ist mit Sicherheit ein Hardwarerouter.
Persönlich bevorzuge ich die Kerio Personal Firewall, da man hier relativ schnell Zugriffe ermöglichen/sperren kann und auch relativ einfach Regeln erstellen kann. Aber leider muss man sich dafür schon ein wenig auskennen. (Hier könnte man zB gezielt den Port 707 in alle Richtungen und mit allen Programmen und mit allen Protokollen sperren). Somit wäre man erstmal sicher. Wie weit die Win Firewall das schafft oder auch das Patch es bereinigt kann ich dir leider nicht sagen. Da hilft vermutlich erstmal nur "Daumendrücken". Denn die besuchte Seite ist egal. Der Wurm sucht von irgendwo her einfach eine zufällige IP und wenn der Port offen ist, kommt er auch zu dir.

PS: Danke euch beiden für die Links. :)