Bekomme Virus nicht weg.

Hi!

Habe ebenfalls die Viren: w32.Kwbot.Worm; w32.Blaster.Worm
Die Dateien sind befallen: cmd32.exe und msblast.exe

Könnt ihr mir sagen, was diese Viren bewirken und wie ich sie weg bekomme?? Kann sie nicht löschen, da sie anscheinend beim Win. Start geöffnet werden. Wo bekomme ich mehr informationen über den Wurm der sich so stark verbreitet??

Danke James

 

Viellen Dank für deine ausführliche Auskunft. Hmmm... ja das mit dem formatieren hab ich gut drauf... kommt bei mir oft vor... Misst... was für ein Virus... Gibts da cuh ein Patch dafür?? Damit ich bei der nächsten KazaLite instalation nicht schon wieder das Ding drine habe?

 

Ich habe mich mal schlau gemacht. Es ist ein Wurm! Damit wird es Kazaa Usern ermöglicht Systemdateien von euch zu ziehen und dateien zu verändern. Hier eine Beschreibung von der Seite der Uni Karlsruhe:

W32/Kwbot-C (11.02.03, akt. (+) 28.11.03)
Alias: Worm.P2P.Tanked.14 [KAV], Win32/HLLW.Kwbot.C [RAV]
Typ: W32-Massen-E-Mail-Wurm
Betroffen: 32-Bit Windows-Systeme mit KaZaA- und iMesh-Installationen
Verbreitung: über KaZaA- und iMesh-Netze

Beschreibung: kopiert sich nach
%System%\System32.exe
%System%\Cmd32.exe
("%System%" steht für die Verzeichnisse \System\ oder \System32\ im Windows-Stammverzeichnis)
modifiziert die Registry, sodaß der Wurm bei jedem Systemstart automatisch gestartet wird (s.u.)
erzeugt den Registry-Unterschlüssel "krypton" (s.u.)
modifiziert u.U. den Inhalt des Registry-Wertes "Shell", sodaß der Wurm bei jedem Systemstart automatisch gestartet wird (Win NT/2000/XP)(s.u.)
erzeugt eines der folgenden Verzeichnisse:
%Windows%\UserTemp
%Windows%\User32
("%Windows%" steht für das Windows-Stammverzeichnis)
kopiert sich in das erzeugte Verzeichnis und setzt das Dateiattribut auf "versteckt". Mögliche Dateinamen sind u.a.:
Age of Empires 2 crack.exe
Battlefield1942_bloodpatch.exe
Download Accelerator Plus 6.1.exe
Guitar Chords Library 5.5.exe
iMesh 3.7b (beta).exe
KaZaA Speedup 3.6.exe
MediaPlayer Update.exe
NBA2003_crack.exe
Network Cable e ADSL Speed 2.0.5.exe
UT2003_keygen.exe
fügt der Registry einen Wert hinzu, sodaß andere KaZaA- oder iMesh-Benutzer Dateien aus den Verzeichnissen
%Windows%\UserTemp oder %Windows%\User32 hernterladen können (s.u.)
Anmerkung: Damit sich der Wurm verbreiten kann, müssen KaZaA- oder iMesh installiert sein
beinhaltet eine Trojanerkomponente, die 2 zufällig gewählte TCP- und UDP-Ports öffnet, um sich mit dem Hacker verbinden zu können
wartet auf Kommandos vom Hacker, die es über einen eigenen IRC-Kanal erhält. Die Kommandos erlauben es dem Hacker, die folgenden Aktionen durchzuführen:
den Wurm aktualisieren
System- und Netzwerkinformationen des befallenen Rechners übermitteln
Herunterladen und Ausführen von Dateien
Denial of Service- (DoS-) Attacken gegen beliebige Rechner ausführen
den Wurm an andere IRC-Benutzer schicken

Registry: Autostart:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
SystemSAS system32.exe
CMD cmd32.exe
krypton:
HKLM\Software
Shell:
HKLM\Software\Microsoft\Windows\CurrentVersion\Winlogon
explorer.exe C:\
(z.B.: Shell explorer.exe C:\Windows\system32\cmd32.exe)

KaZaA-/iMesh-Download:

HKCU\Software\Kazaa\LocalContent
HKCU\Software\iMesh\Client\LocalContent
Dir 012345:%Windows%\UserTemp
oder:
Dir 012345:%Windows%\User32

So, das sind die infos über den Wurm, was du nun damit machst, musst du selbst wissen, ich würde mein system formatiren (ist fast schon ein hobbie von mir*gg*)

 

Das war ein Tippfehler. :-)

Aber trotzdem bekomme ich die Datei nicht weg... was soll ich tuen?

 

ja, ich kenne auch nur cmd32.exe, cdm32.exe ist entweder der wurm oder nur ein tippfehler.....

 

kenne nur cmd32.exe und ist keine Systemdatei, sondern der Wurm

 

Habe den Blaster wegbekommen, die cdm32.exe ist aber immer noch infiziert, trotz patch und so weiter... was nun?

 

Helfen die (vielen) Threads zum Thema hier im Forum nicht weiter?
Zusätzlich: http://www.bsi.de/av/index.htm
Gruß autum

 

Mit dem Blaster Wurm, habe ich keine Probleme und kann dir folgende Tipps geben!


1.) Immer wenn der Computer herunterfahren will, gehe sofort auf START->AUSFÜHREN und tippe folgendes ein:"shutdown -a"
Mit diesem Befehl wird der das Herunterfahren gestoppt. Somit hast du genug Zeit zum die nächsten Schritte auszuführen

2.) gehe aufhttp://www.symantec.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html und lade dir FixBlast herunter. (irgendwo in der Mitte ist der Link)

3.) Lade den Sicherheitspatch für Windows herunter unter
http://www.microsoft.com/germany/ms/technetservicedesk/bulletin/bulletinms03-026.htm
und installiere ihn.

Nun kann dir der Virus nichts mehr anhaben!

 

Ein guter Virenscanner findet diesen Wurm und löscht ihn! Schau Dich einmal im Internet nach einen Patch um. z.B. bei http://www.avp.ch oder http://www.symantec.de !
Roland

 

Roland, das verträgt sich aber nicht ...

@James

Wenn du Kazaa ernsthaft weiter nutzen möchtest besorge dir dringenst den besten AV-Jäger den es gibt!

Roland hat den Link ja gesetzt: http://www.avp.ch

Denk auch daran ihn immer upzudaten sonst kannste aus deinem Hobby PC bald nur noch eines wöchentlich machen: Format C: ...

Gruß, dieschi