Hi niktia,
Nen Kumpel von mir hat mir mal sein HijackThis gegeben.... Der hatten Sasser drauf aber mir kommen noch ein paar andere Einträge komisch vor.... Kannst mal drüberschauen? Will ihm erstmal nur die Sachen für HijackThis zum Fixen sagen, den Rest würde ich persönliuch machen wenn der Wurm noch net weg ist...
Sag doch mal bitte was man problemlos löschen kann...
Logfile of HijackThis v1.99.0
Scan saved at 23:04:05, on 18.02.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AntiVirus\HelperService.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\AntiVirus\AvkServ.exe
C:\WINDOWS\System32\LXSUPMON.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe
C:\WINDOWS\twain_32\CIS600X\WATCH.exe
A:\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://portal.mediamarkt.de/
O2 - BHO: iempg - {FFFFFFFF-FFFF-FFFF-FFFF-5F8507C5F4E9} - C:\WINDOWS\iempg.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\CIS600X\WATCH.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Photo Express Calendar Checker SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AVK HilfsService - Unknown - C:\Programme\AntiVirus\HelperService.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: RtKit - Unknown - C:\WINDOWS\system32\RtKit\rtkit.exe (file missing)
O23 - Service: Remote_Procedure_Call - Unknown - %windir%\system32\svchost.cmd (file missing)
Gruß und Danke
Simon
Warum kostenlos registrieren?
Nur als registriertes Mitglied hast Du vollen Zugriff auf alle Funktionen unserer Website. So kannst Du eigene Fragen stellen und hast die volle Übersicht über neue interessante Themen im Forum.
Jetzt kostenlos registrieren.
Login
Sasser etc
3 Beiträge • Seite 1 von 1
von Nikita am 02.03.2005, 02:48
Dieser Ende August aufgetauchte Wurm verwendet dieselbe Sicherheitslücke wie der Blaster-Wurm (alias Lovsan). Er installiert ein Backdoor-Programm, das via IRC auf Kommandos von potentiellen Angreifern wartet.
Die vom Raleka-Wurm missbrauchte Sicherheitslücke in Windows NT 4.0, Windows 2000, Windows XP und Windows 2003 Server bewirkt, dass sich der Schädling via Netzwerk oder Internet direkt auf ungeschützten PCs installieren kann, ohne erst Mails zu verbreiten.
Die Sicherheitslücke «Pufferüberlauf in RPC-Schnittstelle kann Codeausführung ermöglichen» lässt sich durch die Installation eines Sicherheitsupdates [1] patchen. Auch wenn eine Firewall oder ein Router mit NAT (Network Address Translation [2]) vorhanden ist, welche die entsprechenden Ports [3] blockieren, sollten Sie dieses Sicherheitsupdate unbedingt auf allen anfälligen PCs, Servern und Notebooks installieren.
Um sich zu verbreiten, scannt der Wurm einen ganzen zufällig gewählten Bereich von IP-Adressen, meist viele gleichzeitig. Findet er ein angreifbares System, erstellt er ein dort eine Datei namens down.com und führt sie aus.
Ist dies gelungen, versucht diese Datei, vom angreifenden PC drei Dateien herunterzuladen. Gemäss F-Secure [4] sind das diese:
- svchost32.exe: der Wurm selber
- ntrootkit.exe: eine Backdoor-Komponente
- ntrootkit.reg: der Registry-Eintrag für die Backdoor-Komponente
Zudem versucht er, von diesen Dateien auf vordefinierten Servern im Internet neuere Versionen herunter zu laden.
Der Wurm beginnt sogleich, nach weiteren verwundbaren PCs zu suchen. Er installiert aber auch eine Backdoor-Komponente, die es einem Angreifer erlauben könnte, aus der Ferne Befehle an den infizierten PC zu schicken. Hierfür verbindet er sich mit einem von mehreren vordefinierten IRC-Servern (Internet Relay Chat), betritt einen der Channels und wartet dort auf die Kommandos seines «Schöpfers» oder eines anderen Crackers.
Es sind diese Dateien, die der Raleka-Wurm auf einem infizierten System erstellt:
Im Ordner C:\Windows\System\ oder C:\Winnt\System\ erstellt der Wurm zwei Dateien namens svchost.exe und meist auch eine svchost32.exe.
Achtung: Auf jedem PC mit Windows NT/2000/XP gibts auch in C:\Windows\System32\ (bzw. C:\Winnt\System32\) eine Datei namens svchost.exe. Diese ist jedoch eine wichtige Systemdatei von Windows. Vergleichen Sie den Ordnernamen genau.
Im Ordner C:\Windows\System32\ (bzw. C:\Winnt\System32\) legt er die zum Backdoor gehörenden Dateien ntrootkit.exe und ntrootkit.reg ab, und eine Datei namens svchost.cmd.
In der Windows-Registry nimmt er folgende Veränderungen vor:
In diesem Zweig:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers
Erstellt er diesen Eintrag:
«^%SystemRoot^%\\SYSTEM32\\NTROOTKIT.exe»=«WIN2000» oder
«C:\\Windows\\SYSTEM32\\NTROOTKIT.exe»=«WIN2000»
Zudem wird ein Dienst mit dem Namen «svchost» erstellt und der Beschreibung «Remote_Procedure_Call». Dies erzeugt Einträge in diesen Zweigen:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\svchost
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\
Root\LEGACY_SVCHOST
Beseitigung:
Unter Windows XP empfiehlt es sich, zuerst die integrierte Internetverbindungsfirewall zu aktivieren. Eine deutsche Anleitung [5] finden Sie bei Microsoft. Nun sollten Sie via Windows-Update den Patch installieren.
Falls dies fehlschlägt, weil der PC nach der Ausgabe einer Fehlermeldung immer wieder herunterfährt, verhindern Sie das automatische Herunterfahren, sobald die Herunterfahr-Meldung wieder erscheint:
Drücken Sie die Tastenkombination «Windowstaste» und «R» oder gehen Sie zu «Start/Ausführen». Tippen Sie COMMAND ein und drücken Sie Enter. Nun öffnet sich ein DOS-Fenster, in welches Sie dies eintippen und mit Enter bestätigen:
NET STOP “Remote_Procedure_Call”
Dies sollte den vom Wurm erstellten Dienst stoppen. Falls Sie Herunterfahr-Meldungen immer noch erscheinen, tippen Sie auch dies ein und bestätigen Sie die Eingabe mit Enter:
shutdown –a
Lassen Sie das DOS-Fenster am besten gleich offen. Falls wieder eine Meldung ähnlich wie «System wird in 60 Sekunden heruntergefahren» erscheint, klicken Sie einfach kurz den Titelbalken des DOS-Fensters an, drücken einmal die Pfeil-Aufwärtstaste, um den vorhin eingegebenen Befehl abzurufen und drücken Sie wieder Enter.
Auf diese Weise sollte es Ihnen möglich sein, das Update zu installieren. Nach dem PC-Neustart scannen Sie Ihre Festplatte mit einem aktuellen Virenscanner nach Schädlingen und lassen Sie die als infiziert gemeldeten Dateien entfernen.
____________________________________________________________________
Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.
So wird der Dienst deaktiviert:
Start-> Einstellungen-> Systemsteuerung-> Verwaltung-> Computerverwaltung und dann den Eintrag Dienste auswählen. Nun werden alle laufenden Dienste angezeigt. Hier den Punkt " RtKit" aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der
"RtKit " beim nächsten Systemstart erneut ausgeführt.
Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der " " läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt.
Gehe in die Registry
Start<Ausfuehren<regedit.
Loesche:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\svchost
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\
Root\LEGACY_SVCHOST
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers
«^%SystemRoot^%\\SYSTEM32\\NTROOTKIT.exe»=«WIN2000» oder
«C:\\Windows\\SYSTEM32\\NTROOTKIT.exe»=«WIN2000»
•Download Registry Search Tool :
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Doppelklick:regsrch.vbs
reinkopieren:
{FFFFFFFF-FFFF-FFFF-FFFF-5F8507C5F4E9}
Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)
RtKit
Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten
O2 - BHO: iempg - {FFFFFFFF-FFFF-FFFF-FFFF-5F8507C5F4E9} - C:\WINDOWS\iempg.dll
O23 - Service: RtKit - Unknown - C:\WINDOWS\system32\RtKit\rtkit.exe (file missing)
O23 - Service: Remote_Procedure_Call - Unknown - %windir%\system32\svchost.cmd (file missing)
PC neustarten--> in den abgesicherten Modus !!!!
system32\svchost.cmd
in der cmd datei steht wahrscheinlich folgender Text
@echo off
if exist %windir%\system\svchost32.exe copy /Y %windir%\system\svchost32.exe %windir%\system\svchost.exe
if exist %windir%\system32\svchost32.exe copy /Y %windir%\system32\svchost32.exe %windir%\system\svchost.exe
start %windir%\system\svchost.exe
was das macht ist ja wohl klar
c:\windows\system32\svchost.ini
oeffne die ini. und poste mir, was da angezeigt wird !!!!
nun zu der ini darin steht wahrscheinlich folgendes:
127.0.39.2
127.0.39.3
Loesche:
<C:\WINDOWS\iempg.dll
<C:\WINDOWS\system32\RtKit\rtkit.exe
<C:\Windows\SYSTEM32\NTROOTKIT.exe
<C:\Windows\SYSTEM32\ntrootkit.reg
<c:\windows\system32\svchost32.exe
<c:\windows\system32\svchost.cmd
<eine datei c:\windows\system32\svchost.ini 6kb groß
<eine datei c:\windows\system32\svchost.exe 13kb groß
•Onlinescann" eTrust Antivirus"(nur mit IE moeglich)
http://www.my-etrust.com/products/pests ... pscanca%20
•Trend-Micro (Online)
http://de.trendmicro-europe.com/consume ... launch.php
http://de.trendmicro-europe.com/enterpr ... ll_pre.php
Dienste anzeigen:
License: Freeware/Getservices
Note: You must run this program as a user with Administrator privaleges.
->klicke auf "getservice.bat und poste, was im Editor erscheint.
http://www.bleepingcomputer.com/files/getservices.php
_____________________________________________________
The worm also will try to download and install a Microsoft patch for the RPC-DCOM vulnerabilty.
Windows Worms Doors Cleaner erlaubt Ihnen die Dienste auf die die Würmer angewiesen sind, zu schließen
http://www.firewallleaktester.com/wwdc.htm
Die vom Raleka-Wurm missbrauchte Sicherheitslücke in Windows NT 4.0, Windows 2000, Windows XP und Windows 2003 Server bewirkt, dass sich der Schädling via Netzwerk oder Internet direkt auf ungeschützten PCs installieren kann, ohne erst Mails zu verbreiten.
Die Sicherheitslücke «Pufferüberlauf in RPC-Schnittstelle kann Codeausführung ermöglichen» lässt sich durch die Installation eines Sicherheitsupdates [1] patchen. Auch wenn eine Firewall oder ein Router mit NAT (Network Address Translation [2]) vorhanden ist, welche die entsprechenden Ports [3] blockieren, sollten Sie dieses Sicherheitsupdate unbedingt auf allen anfälligen PCs, Servern und Notebooks installieren.
Um sich zu verbreiten, scannt der Wurm einen ganzen zufällig gewählten Bereich von IP-Adressen, meist viele gleichzeitig. Findet er ein angreifbares System, erstellt er ein dort eine Datei namens down.com und führt sie aus.
Ist dies gelungen, versucht diese Datei, vom angreifenden PC drei Dateien herunterzuladen. Gemäss F-Secure [4] sind das diese:
- svchost32.exe: der Wurm selber
- ntrootkit.exe: eine Backdoor-Komponente
- ntrootkit.reg: der Registry-Eintrag für die Backdoor-Komponente
Zudem versucht er, von diesen Dateien auf vordefinierten Servern im Internet neuere Versionen herunter zu laden.
Der Wurm beginnt sogleich, nach weiteren verwundbaren PCs zu suchen. Er installiert aber auch eine Backdoor-Komponente, die es einem Angreifer erlauben könnte, aus der Ferne Befehle an den infizierten PC zu schicken. Hierfür verbindet er sich mit einem von mehreren vordefinierten IRC-Servern (Internet Relay Chat), betritt einen der Channels und wartet dort auf die Kommandos seines «Schöpfers» oder eines anderen Crackers.
Es sind diese Dateien, die der Raleka-Wurm auf einem infizierten System erstellt:
Im Ordner C:\Windows\System\ oder C:\Winnt\System\ erstellt der Wurm zwei Dateien namens svchost.exe und meist auch eine svchost32.exe.
Achtung: Auf jedem PC mit Windows NT/2000/XP gibts auch in C:\Windows\System32\ (bzw. C:\Winnt\System32\) eine Datei namens svchost.exe. Diese ist jedoch eine wichtige Systemdatei von Windows. Vergleichen Sie den Ordnernamen genau.
Im Ordner C:\Windows\System32\ (bzw. C:\Winnt\System32\) legt er die zum Backdoor gehörenden Dateien ntrootkit.exe und ntrootkit.reg ab, und eine Datei namens svchost.cmd.
In der Windows-Registry nimmt er folgende Veränderungen vor:
In diesem Zweig:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers
Erstellt er diesen Eintrag:
«^%SystemRoot^%\\SYSTEM32\\NTROOTKIT.exe»=«WIN2000» oder
«C:\\Windows\\SYSTEM32\\NTROOTKIT.exe»=«WIN2000»
Zudem wird ein Dienst mit dem Namen «svchost» erstellt und der Beschreibung «Remote_Procedure_Call». Dies erzeugt Einträge in diesen Zweigen:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\svchost
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\
Root\LEGACY_SVCHOST
Beseitigung:
Unter Windows XP empfiehlt es sich, zuerst die integrierte Internetverbindungsfirewall zu aktivieren. Eine deutsche Anleitung [5] finden Sie bei Microsoft. Nun sollten Sie via Windows-Update den Patch installieren.
Falls dies fehlschlägt, weil der PC nach der Ausgabe einer Fehlermeldung immer wieder herunterfährt, verhindern Sie das automatische Herunterfahren, sobald die Herunterfahr-Meldung wieder erscheint:
Drücken Sie die Tastenkombination «Windowstaste» und «R» oder gehen Sie zu «Start/Ausführen». Tippen Sie COMMAND ein und drücken Sie Enter. Nun öffnet sich ein DOS-Fenster, in welches Sie dies eintippen und mit Enter bestätigen:
NET STOP “Remote_Procedure_Call”
Dies sollte den vom Wurm erstellten Dienst stoppen. Falls Sie Herunterfahr-Meldungen immer noch erscheinen, tippen Sie auch dies ein und bestätigen Sie die Eingabe mit Enter:
shutdown –a
Lassen Sie das DOS-Fenster am besten gleich offen. Falls wieder eine Meldung ähnlich wie «System wird in 60 Sekunden heruntergefahren» erscheint, klicken Sie einfach kurz den Titelbalken des DOS-Fensters an, drücken einmal die Pfeil-Aufwärtstaste, um den vorhin eingegebenen Befehl abzurufen und drücken Sie wieder Enter.
Auf diese Weise sollte es Ihnen möglich sein, das Update zu installieren. Nach dem PC-Neustart scannen Sie Ihre Festplatte mit einem aktuellen Virenscanner nach Schädlingen und lassen Sie die als infiziert gemeldeten Dateien entfernen.
____________________________________________________________________
Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.
So wird der Dienst deaktiviert:
Start-> Einstellungen-> Systemsteuerung-> Verwaltung-> Computerverwaltung und dann den Eintrag Dienste auswählen. Nun werden alle laufenden Dienste angezeigt. Hier den Punkt " RtKit" aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der
"RtKit " beim nächsten Systemstart erneut ausgeführt.
Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der " " läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt.
Gehe in die Registry
Start<Ausfuehren<regedit.
Loesche:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\svchost
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\
Root\LEGACY_SVCHOST
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers
«^%SystemRoot^%\\SYSTEM32\\NTROOTKIT.exe»=«WIN2000» oder
«C:\\Windows\\SYSTEM32\\NTROOTKIT.exe»=«WIN2000»
•Download Registry Search Tool :
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Doppelklick:regsrch.vbs
reinkopieren:
{FFFFFFFF-FFFF-FFFF-FFFF-5F8507C5F4E9}
Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)
RtKit
Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten
O2 - BHO: iempg - {FFFFFFFF-FFFF-FFFF-FFFF-5F8507C5F4E9} - C:\WINDOWS\iempg.dll
O23 - Service: RtKit - Unknown - C:\WINDOWS\system32\RtKit\rtkit.exe (file missing)
O23 - Service: Remote_Procedure_Call - Unknown - %windir%\system32\svchost.cmd (file missing)
PC neustarten--> in den abgesicherten Modus !!!!
system32\svchost.cmd
in der cmd datei steht wahrscheinlich folgender Text
@echo off
if exist %windir%\system\svchost32.exe copy /Y %windir%\system\svchost32.exe %windir%\system\svchost.exe
if exist %windir%\system32\svchost32.exe copy /Y %windir%\system32\svchost32.exe %windir%\system\svchost.exe
start %windir%\system\svchost.exe
was das macht ist ja wohl klar
c:\windows\system32\svchost.ini
oeffne die ini. und poste mir, was da angezeigt wird !!!!
nun zu der ini darin steht wahrscheinlich folgendes:
127.0.39.2
127.0.39.3
Loesche:
<C:\WINDOWS\iempg.dll
<C:\WINDOWS\system32\RtKit\rtkit.exe
<C:\Windows\SYSTEM32\NTROOTKIT.exe
<C:\Windows\SYSTEM32\ntrootkit.reg
<c:\windows\system32\svchost32.exe
<c:\windows\system32\svchost.cmd
<eine datei c:\windows\system32\svchost.ini 6kb groß
<eine datei c:\windows\system32\svchost.exe 13kb groß
•Onlinescann" eTrust Antivirus"(nur mit IE moeglich)
http://www.my-etrust.com/products/pests ... pscanca%20
•Trend-Micro (Online)
http://de.trendmicro-europe.com/consume ... launch.php
http://de.trendmicro-europe.com/enterpr ... ll_pre.php
Dienste anzeigen:
License: Freeware/Getservices
Note: You must run this program as a user with Administrator privaleges.
->klicke auf "getservice.bat und poste, was im Editor erscheint.
http://www.bleepingcomputer.com/files/getservices.php
_____________________________________________________
The worm also will try to download and install a Microsoft patch for the RPC-DCOM vulnerabilty.
Windows Worms Doors Cleaner erlaubt Ihnen die Dienste auf die die Würmer angewiesen sind, zu schließen
http://www.firewallleaktester.com/wwdc.htm
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
3 Beiträge • Seite 1 von 1
Ähnliche Themen
| Wurm Sasser ---Warnung Forum: Online- und PC-Sicherheit Autor: Nikita Antworten: |
kann ich den w32.sasser.worm auf diese weise entfernen...? Forum: Online- und PC-Sicherheit Autor: Ri-q|p-er Antworten: |
sasser weg - regedit lässt sich nicht mehr öffnen Forum: Online- und PC-Sicherheit Autor: dr. ananas Antworten: |
Problem seit "Sasser" Forum: Online- und PC-Sicherheit Autor: jojo36 Antworten: |
Anleitung Wurm Sasser entfernen Forum: Online- und PC-Sicherheit Autor: Computerdirk Antworten: |
Zurück zu Online- und PC-Sicherheit
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste