operator
Goto Top

Problem: Win32.Netsky.Patmm

Hallo liebe Community,

seit einigen Tagen habe ich ein Problem mit dem Wurm Win32.Netsky.P@mm.
Es ereignete sich folgendes, ich nutzte das E-Mail Programm Mozilla Thunderbird und bekam eine Mail
von irgendwoher mit Betreff: I atteched your document. Es war ein Anhang einer zip-Datei mit dabei.
Selbstverständlich hab ich ihn nicht geöffnet. Das Fatale an der Geschichte ist jedoch dass mein Viren-Scanner
BitDefender 8 nicht mit Thunderbird kooperierte. Das heisst er prüfte keine Einkommenden E-Mails.

Mein Vorgehen war nun folgendes:
Ich löschte die besagte E-Mail, installierte Outlook Express und übertrug meine Adressen. Anschließend scannte
ich mein System mit BitDefender 8, dieser fand den bereits genannten Wurm im Verzeichnis von Thunderbird und
ließ sich von der AV-Software nicht löschen (Es kam zwar die Meldung dass das Virus gelöscht wurde, bei erneutem
Scan wurde dieser jedoch im gleichen Verzeichnis wieder gefunden).
Darauf hin deinstallierte ich Thunderbird nun ordnungsgemäß und gründlich. Bei erneutem Scannen wurde der Wurm
auch nicht mehr gefunden. Ich erhalte aber seit dem täglich eine E-Mail mit immer wechselndem Sender, meine AV
Software erkennt aber immer sofort den Wurm und löscht diesen.
Ich erkundigte mich im Netz was dieser Wurm überhaupt genau ist und welchen Schaden er verursacht. Ich weiß nun
dass er eine Art Massenmailing verursacht und der eigentlich Schaden relativ gering ist. Ich löschte einige Registry-Einträge die meines Wissens nach von dem Wurm ausgingen. Säuberte mein System mit Anti-Spyware
und scannte es mehrmals mit BitDefender 8. Ich lud mir des Weiteren diverse Programme (Stinger, Symantec und BitDefender) zum entfernen der Netsky Variante aus dem Netz und säuberte nochmals unter abgesicherten Modus, es wurde jedoch nichts mehr gefunden. Meiner Meinung nach dürfte mein System relativ sauber sein, da ich auch ansonsten meinen Rechner sehr pflege.
Allerdings erhalte ich noch immer mind. einmal am Tag ein Mail mit diesem Wurm. Wenn jemand eine Idee oder Lösungsmöglichkeit weiß, bin ich wirklich dankbar.

PS: Ich vergaß zu erwähnen dass ich Win XP mit Service Pack 2 verwende.

Gruß operator

Content-ID: 27379

Url: https://administrator.de/forum/problem-win32-netsky-patmm-27379.html

Ausgedruckt am: 23.12.2024 um 03:12 Uhr

cykes
cykes 04.03.2006 um 17:27:17 Uhr
Goto Top
Hi,

Du könntest Dir zur Sicherheit noch eine Windows PE Boot CD mit BartPE erstellen und
darin einen aktuellen Virescanner und eventuell noch Spybot S&D integrieren, dann mit dieser
CD das System starten udn nochmal alle Festplatten(partitionen) scannen.

Ich würde allerdings auch sagen, nachdem wie Du das oben vbeschrieben hast, dass
Dein System sauber ist.

Gegen die (verseuchten) EMails kannst Du wenig machen, ausser allen Deinen Bekannten
(oder Kunden) bescheidsagen,d ass sie mal ihre Systeme gründlich checken sollen.
Der Wurm liest halt aus Outlook oder anderen EMail Programmen die Kontakt-Daten
aus und mailt sich an alle gefundenen EMail-Adressen, wenn er aktiv ist.

Gruss

cykes
operator
operator 04.03.2006 um 19:02:16 Uhr
Goto Top
Danke erstmal für die schnelle Antwort. Ja, dein Vorschlag ist nicht schlecht.
Mich wundert allerdings noch immer warum ich nun täglich solche Mails erhalte.
Ich habe meine E-Mailadresse seit vielen Jahren und hatte bis jetzt noch nie Probleme. Diese Häufung ist nun wirklich komisch. Ich hab mir die Funktionsweise des Wurms überlegt. Irgendwoher muss die tägliche Aktion ja gestartet werden.
Eigentlich kann es ja nur jemand aus dem Bekannntenkreis sein da ich mit meinen Daten sehr penibel umgehe. Wisst ihr wie das mit dem Absender ist? Ist das definitiv die Adresse von der der Wurm aus gesendet wurde, oder eine gefälschte?
Die Adressen von denen ich die Mails bekam, sind alle weltweit und mir nicht bekannt. Hätte ansonsten noch den Verdacht dass ich nun auf irgendeinen dämlichen Verteiler stehe und diese Mails noch lange Zeit erhalten könnte. Was mich persönlich schon stören würde. Komisch ist auch warum ich immer den selben Wurm erhalte. Dieser ist ja auch schon seit, denke ich, 2004 bekannt. Alles recht mysteriös. Wenn sonst noch jemand Vorschläge hat, bitte.

Gruß operator
cykes
cykes 04.03.2006 um 19:16:06 Uhr
Goto Top
Naja, das ist auch gleich die Erklärung, Du wirst relativ vielen Leuten Deine Adresse gegeben
haben, udn wenn sich einer von denen diesen oder einen anderen Wurm eingefangen
hat, bekommst Du halt von demjenigen ständig die Mails (kann ja sein, dass er/sie es gar nicht
weiss ..). Wenn Deine EMail-Adresse zusätzlich noch auf irgendeiner Webseite frei zugänglich sein sollte, kann es auch daran liegen, viele Würmer holen sich auch Adressdaten aus dem www.

Gruss

cykes
operator
operator 04.03.2006 um 19:43:48 Uhr
Goto Top
Hm, wie gesagt ich gehe sehr penibel mit meinen Daten um, sprich nichts von mir ist öffentlich zugänglich. Die Funktionsweise von "Crawlern", also sprich von code der sich selbständig macht um in den Weiten den Nets nach E-Adressen ausschau zu halten, ist mir bekannt. Jedoch aufgrund meiner "neurotischen" Datenschutz-Vorsicht, schwer vorstellbar face-smile
Aber sicherlich, deine Antworten sind natürlich logisch. Ich hab soeben ein Rundschreiben an meine Mailkontakte verschickt, mit einer Anleitung wie jeder bei Interesse sein System überprüfen kann.
Werde jetzt einfach mal abwarten was in den nächsten Tagen so passiert.
Vielen Dank für deine Ratschläge, cykes!

Gruß operator
Boskowar
Boskowar 05.03.2006 um 15:39:46 Uhr
Goto Top
Hallo operator,

du schreibst, daß du den Virus nicht löschen kannst. Da läßt sich nur vermuten, daß dieser Virus sich in einen Systemwiederherstellungspunkt von Windows ( da du nicht geschrieben hast welches BS du benutzt, gehe ich von XP aus) geschrieben hat. Diese Dateien werden von einigen Virenscanner aufgrund mangelnder Recht nicht durchsucht. Diese Dateien findest du unter den/m Ordner/n "System Volume Information". Diese Ordner mußt du für Administratoren freigeben, erst dann kannst du dir den Inhalt anzeigen lassen und auch löschen.

Laß mal deinen Virenscanner mit diesen Einstellungen laufen. Ich könnte fast wetten, daß er im besagten Ordner den Virus nochmal entdeckt.

Gruß

Ralph
operator
operator 05.03.2006 um 16:24:36 Uhr
Goto Top
Hallo Ralph,

danke für den Hinweis. Den Virus den ich nicht löschen konnte befand sich in den Konfigurationeinstellungen von Thunderbird. Das ist schon erledigt. Ein Virus wird definitiv nicht mehr gefunden.
Den Ordner "System Volume Information" hab ich schon vorsorglich bei meiner Desinfektionsmaßnahme gelöscht. D. h. dieser ist aktuell leer.
Hab heute noch mal stundenlang meinen Rechner durchgearbeitet, bin mir jetzt wirklich ziemlich sicher dass dieser clean ist.
Warte jetzt einfach mal ab, was mit den Mails so passiert. Heute bekam ich noch keine.
Danke jedoch für eure Unterstützung!

PS: Mein OS nannte ich in meinem ersten Beitrag (Win XP), siehe PS dortface-wink

Gruß operator