hilfe!unbekannter virus im netzwerk!!!, brandneuer virus??? wuamga.exe |
Willkommen, Gast ( Anmelden | Registrierung )
hilfe!unbekannter virus im netzwerk!!!, brandneuer virus??? wuamga.exe |
28.06.2004, 17:18
Beitrag
#1
|
|
Ist neu hier Gruppe: Mitglieder Beiträge: 9 Mitglied seit: 13.05.2004 Mitglieds-Nr.: 816 |
hallo rokop-team!
ich hoffe ihr spezialisten könnt mir helfen...ich weiss echt nicht mehr weiter!! unser netzwerk ist von einem virus infiziert worden!!! ...zuerst dachten wir es wäre mal wieder der sasser, weil er den rechner mittels des rpc herunterfährt aufgrund eine sfehlers in der lsass.exe...aber der ist es nicht! ...danach kamen wir auf den korgo.q... wegen der ähnlichkeit zu sasser...aber leider auch nicht erfolgreich... die einzigen anhaltspunkte, die sich bei den rechnern finden lassen, ist einmal eine verdächtige exe namens wuamga.exe...(vielleicht der server/dowloader für den ausführbaren code???) & beim telnet portscan reagieren die potentiell "infizierten" rechner auf dem port 113 mit ausgabe einer wilden/fiktiven unix-kennung.. was kann das für ein virus sein...mir ist noch nichts bekannt was sich so äussern würde...wäre echt super wenn ihr mir helfen könntet,wir sind nämlich total überfragt vielen dank schonmal im vorraus... gruss.trigga |
|
|
28.06.2004, 17:42
Beitrag
#2
|
|
Threadersteller Ist neu hier Gruppe: Mitglieder Beiträge: 9 Mitglied seit: 13.05.2004 Mitglieds-Nr.: 816 |
kleiner nachtrag:
ich würde die wuamga.exe ja gerne als anschauungsmaterial beifügen...sie ist jedoch grösser als 50k...falls interesse an der .exe besteht könnte ich sie aber später noch per mail an euch schicken... gruss.trigga -------------------- gruss.stephan
|
|
|
28.06.2004, 18:15
Beitrag
#3
|
|
Leader of the Pack & Mr. Shishandis Gruppe: Administratoren Beiträge: 4.412 Mitglied seit: 19.04.2003 Wohnort: Kaufungen Mitglieds-Nr.: 43 Betriebssystem: Mac OS 10.5 Leopard Virenscanner: keinen Firewall: keine |
-------------------- (-- Roman --)
|
|
|
Gast_Bo Derek_* |
28.06.2004, 18:28
Beitrag
#4
|
Gäste |
Roman meint, Du mögest die Datei an diese Adresse schicken. Hier im Board darf keine Malware gepostet werden!
|
|
|
28.06.2004, 20:03
Beitrag
#5
|
|
Leader of the Pack & Mr. Shishandis Gruppe: Administratoren Beiträge: 4.412 Mitglied seit: 19.04.2003 Wohnort: Kaufungen Mitglieds-Nr.: 43 Betriebssystem: Mac OS 10.5 Leopard Virenscanner: keinen Firewall: keine |
Hallo, ist ein Worm.Rbot.gen !
-------------------- (-- Roman --)
|
|
|
28.06.2004, 20:16
Beitrag
#6
|
|
Threadersteller Ist neu hier Gruppe: Mitglieder Beiträge: 9 Mitglied seit: 13.05.2004 Mitglieds-Nr.: 816 |
hello again!
habe euch die betreffende wuamga.exe soeben gemailt ... ich bin mir inzwischen ziemlich sicher, dass sie der loader für den virus ist ... wir hatten das an einem rechner getestet ... wenn die exe ausgeführt wird erstellt sich ein registry eintrag un des wir d ein prozess gestartet ... wir habe allerdings noch nicht herausbekommen können ob der virus sich im system selbst reproduzieren kann, wenn man den prozess beendet,den registry key löscht und die exe entfernt reproduziert er sich nach einem neustart auf jeden fall nicht...hoffe auf gute tipps man dankt....mfg.trigga -------------------- gruss.stephan
|
|
|
28.06.2004, 20:20
Beitrag
#7
|
|
Threadersteller Ist neu hier Gruppe: Mitglieder Beiträge: 9 Mitglied seit: 13.05.2004 Mitglieds-Nr.: 816 |
aaah...licht am ende des tunnels :P
ist der denn neu oder alt der wurm??? gibts ein removal tool??? & vor allem wie funktioniert der ??? oder gibts darüber infos z.b. bei symantec??? mfg.trigga -------------------- gruss.stephan
|
|
|
Gast_Bo Derek_* |
28.06.2004, 20:34
Beitrag
#8
|
Gäste |
Roman soll Dir am besten mitteilen, mit welchem Scanner er die Erkennung durchgeführt hat. Mit diesem dürftest Du den Wurm auch entfernen können.
QUOTE oder gibts darüber infos z.b. bei symantec??? Ihr setzt doch im Netzwerk nicht Norton AntiVirus ein!? Wenn ja, dann schaut euch schleunigst nach einem Programm um, das euch in solchen Notfällen nicht im Stich lässt. McAfee Enterprise, Kaspersky AntiVirus Professional und F-Secure sind hier sicher die Top-Kandidaten. |
|
|
28.06.2004, 21:57
Beitrag
#9
|
|
Leader of the Pack & Mr. Shishandis Gruppe: Administratoren Beiträge: 4.412 Mitglied seit: 19.04.2003 Wohnort: Kaufungen Mitglieds-Nr.: 43 Betriebssystem: Mac OS 10.5 Leopard Virenscanner: keinen Firewall: keine |
Korrektur, nicht Wurm sondern Backdoor. Erkannt mit KAV und NOD32 heuristisch. Ist wahrscheinlich eine ganz neue Variante. Ist an alle AV Hersteller eingesandt.
-------------------- (-- Roman --)
|
|
|
28.06.2004, 23:56
Beitrag
#10
|
|
Threadersteller Ist neu hier Gruppe: Mitglieder Beiträge: 9 Mitglied seit: 13.05.2004 Mitglieds-Nr.: 816 |
hallo!
leider haben wir im netzwerk nur norton antivirus ... und auch keine software firewall auf den rechnern... aber leider hab ich in der beziehung rein gar nix zu melden...aber vielleicht gibt dieser vorfall ja mal anlass zum umdenken ...wenns ne neue variante ist dann hat sich das opfer ja gelohnt ... wenns dann nicht noch mehr leuten so ergeht...bei uns sinds genug :p ..binauf jeden fall mal wieder sehr beeindruckt ...wir haben 3 tage lang keine ahnung gehabt was wir mit dem ding anfangen sollen...nun wirds ja hoffentlich besser klappen...morgen gehts ihm an den kragen vielen dank an euch!!! mfg.trigga -------------------- gruss.stephan
|
|
|
29.06.2004, 09:14
Beitrag
#11
|
|
Threadersteller Ist neu hier Gruppe: Mitglieder Beiträge: 9 Mitglied seit: 13.05.2004 Mitglieds-Nr.: 816 |
hi mal wieder!
...kaspersky antivirus ist mir leider nicht zugänglich....aber ich habe grade mal NOD32 über einen der infizierten rechner laufen lassen... und er findet nichts!!! ...er übergeht die wuamga.exe einfach...für NOD ist sie okay ??? muss man nur heuristisch checken???(ohne virendatenbank)...daran kanns doch aber eigentlich nicht liegen oder? ...vielleicht noch eine andere idee womit man den entfernen könnte...wenn man alles per hand machen muss wird das nämlich ganz schön viel ...vielleicht habt ihr ja noch was für mich... ..trigga! -------------------- gruss.stephan
|
|
|
29.06.2004, 09:17
Beitrag
#12
|
|
Womanizer Gruppe: Freunde Beiträge: 3.798 Mitglied seit: 05.05.2004 Mitglieds-Nr.: 765 |
Stelll doch mal die Heuristik auf die höchste Stufe, denn Roman hat ja geschrieben, dass die Datei heuristisch erkannt wurde...
Eventuell kommt auch in den nächsten paar Stunden ein Update raus, nachdem Roman die Datei eingeschickt hatte... -------------------- |
|
|
Gast_Bo Derek_* |
29.06.2004, 09:22
Beitrag
#13
|
Gäste |
Hast Du die Option "Advanced Heuristics" angeschalten? Ansonsten bliebe noch Kaspersky, das ja den Backdoor ebenfalls entdeckt hat.
|
|
|
29.06.2004, 09:42
Beitrag
#14
|
|
Threadersteller Ist neu hier Gruppe: Mitglieder Beiträge: 9 Mitglied seit: 13.05.2004 Mitglieds-Nr.: 816 |
...heuristik ist angestellt gewesen ... und war auch auf die höchste stufe gestellt...eine option advanced heuristics finde ich allerdings nicht in NOD32 ...
gibt es denn irgendeine version von kav 4 free ??? n trialversion oder sowas ??? oder sowas wie den stinger von mc afee ??? ...trigga -------------------- gruss.stephan
|
|
|
29.06.2004, 09:44
Beitrag
#15
|
|
Schauspiel-Gott aka Kilauea Gruppe: Mitarbeiter Beiträge: 7.493 Mitglied seit: 20.04.2003 Wohnort: Göttingen Mitglieds-Nr.: 46 |
Eine Kaspersky Testversion findest du hier:
http://www.kaspersky.com/de/downloads?chapter=146440558 Ob die irgendwelche Einschränkungen hat weiß ich nicht. Domino -------------------- Keep the spirit alive.....
|
|
|
Gast_Bo Derek_* |
29.06.2004, 09:46
Beitrag
#16
|
Gäste |
Normalerweise kann man mit Testversionen nur Malware finden aber nicht entfernen. Das bringt Trigga deshalb nichts, er bräuchte schon eine Vollversion.
|
|
|
Gast_Bo Derek_* |
29.06.2004, 09:49
Beitrag
#17
|
Gäste |
QUOTE(Trigga @ 29. June 2004, 10:41) ...heuristik ist angestellt gewesen ... und war auch auf die höchste stufe gestellt...eine option advanced heuristics finde ich allerdings nicht in NOD32 ... Schau mal hier: http://www.wilderssecurity.com/showthread.php?t=9776 |
|
|
29.06.2004, 09:49
Beitrag
#18
|
|
Schauspiel-Gott aka Kilauea Gruppe: Mitarbeiter Beiträge: 7.493 Mitglied seit: 20.04.2003 Wohnort: Göttingen Mitglieds-Nr.: 46 |
Kaspersky schreibt nichts dazu
Allerdings habe ich noch nicht durchschaut auf was KAV sich nun geeinigt hat. Ich hatte schon Testversionen, die konnten alles, bis auf Updates laden und ich hatte auch schon die von dir beschriebene Variante. Einfach mal ausprobieren Domino -------------------- Keep the spirit alive.....
|
|
|
29.06.2004, 09:55
Beitrag
#19
|
|
Threadersteller Ist neu hier Gruppe: Mitglieder Beiträge: 9 Mitglied seit: 13.05.2004 Mitglieds-Nr.: 816 |
ok danke...
...werd ich mir gleich mal runterziehen und mal wieder einen rechner infizieren ...mal sehen was der scanner kann...oder eben nicht ...trigga -------------------- gruss.stephan
|
|
|
29.06.2004, 10:04
Beitrag
#20
|
|
Womanizer Gruppe: Freunde Beiträge: 3.798 Mitglied seit: 05.05.2004 Mitglieds-Nr.: 765 |
QUOTE(Domino @ 29. June 2004, 10:43) Ob die irgendwelche Einschränkungen hat weiß ich nicht. Keine Einschränkungen ausser den beschränkten Testzeitraum... -------------------- |
|
|
29.06.2004, 10:31
Beitrag
#21
|
|
Threadersteller Ist neu hier Gruppe: Mitglieder Beiträge: 9 Mitglied seit: 13.05.2004 Mitglieds-Nr.: 816 |
super...danke manu
...trigga -------------------- gruss.stephan
|
|
|
29.06.2004, 18:34
Beitrag
#22
|
|
Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 749 Mitglied seit: 15.04.2003 Mitglieds-Nr.: 22 Betriebssystem: WindowsXP Home SP2 Firewall: AVM, SP2 FW |
Falls es noch jemanden interessiert. Hier habe ich eine ausführliche Beschreibung gefunden
http://www3.ca.com/securityadvisor/virusin...s.aspx?id=39437 -------------------- Gruß
Internetfan1971 |
|
|
Gast_Bo Derek_* |
29.06.2004, 18:38
Beitrag
#23
|
Gäste |
Ah, eine Meldung von CA. Dann müsste der Backdoor ja auch von eTrust (kostenlos) erkannt werden: http://etrustantivirus-east.ca.com/v7/
|
|
|
29.06.2004, 18:43
Beitrag
#24
|
|
Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 1.234 Mitglied seit: 08.12.2003 Mitglieds-Nr.: 261 Betriebssystem: WinXP SP3 Virenscanner: KAV 2009 |
In der PC-Welt Nr 7/2004 war eine kostenlose Vollversion von Kaspersky 4.5 mit zeitlich begrenzter Updatefähigkeit.
Nur 'mal so am Rande angemerkt... Gruß! MyThinkTank -------------------- |
|
|
29.06.2004, 21:43
Beitrag
#25
|
|
Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 749 Mitglied seit: 15.04.2003 Mitglieds-Nr.: 22 Betriebssystem: WindowsXP Home SP2 Firewall: AVM, SP2 FW |
Genau wie bei CHIP...
Nur 'mal so am Rande angemerkt... Ist doch (fast) ein alter Hut... -------------------- Gruß
Internetfan1971 |
|
|
29.06.2004, 23:11
Beitrag
#26
|
|
War schon oft hier Gruppe: Mitglieder Beiträge: 136 Mitglied seit: 03.01.2004 Mitglieds-Nr.: 306 Betriebssystem: XP Pro. Virenscanner: Trust Port AV (Test) Firewall: no |
evtl. hilft auch dieser Link weiter.
-------------------- Keyboard not found. Press F1 to continue.
|
|
|
Vereinfachte Darstellung | Aktuelles Datum: 20.06.2024, 01:37 |