LivingLegend
PDS-Member
Beiträge: 5939
dabei seit: 25.11.2002
 Sach mal leude, wenn ihr mir einmal zuhören würdet, wenn ihr einmal von mir dargestellte Links ansehen würdet, dann hättet ihr sone scheisse net aufm PC. Der Welchia verbreitet sich wieder über DCOM, wie Blaster, und DCOM is immer noch anfällig -> Ergo. DCOM Absichern,...

WIE. ZUM hindersten Mal, stehts oben.
term
PDS-Member
Beiträge: 2937
dabei seit: 20.11.2002
 @krass sowas ähnliches hatte ich vor 4 wochen mit dem welchia worm, avp schlägt alarm und blockt den, ich lösch den über avp am nächsten tag is er wieder da. So ging das mehrere Tage bis ich nen Windows Update gemacht habe, seitdem is Ruhe.
LivingLegend
PDS-Member
Beiträge: 5939
dabei seit: 25.11.2002
 Pinom.c aka W32/Cissi-B

http://www.sophos.de/virusinfo/analyses/w32cissib.html


Versuch den mal über die Dateien die dort beschrieben sind und über die Registry zu säubern. Ich gehe davon aus, das der nicht richtig entfernt wird von Antivir.


Bitte daran denken, Antivir is bei der Scanleistung leider nur besserer Durchschnitt, und was das Entfernen angeht sogar ziemlich mies.
Sind dran am arbeiten, aber kostenlos muss nicht spitze sein.


öhm, btw, hast du Netzwerkfreigaben offen? im INET?? unbedingt mal checkorn.
krass
PDS-Member
Beiträge: 2739
dabei seit: 3.9.2003
 RoLLi der threat terminator !!!

Ich hab mal was andres.. ich hab schon länger spybot und antiVir .. wenn ich da suchen mache, wird nie was gefunden.
wenn mein rechnor aber in bildschirmschoner wechselt, dann kommt antiVir und schmeisst mir ne pinom.C meldung. den lösch ich dann via antiVir. aber beim nächsten mal bildschirmschonen, is der wieder da.. so what ?
LivingLegend
PDS-Member
Beiträge: 5939
dabei seit: 25.11.2002
 Überall da, wo der automatisch nen Hacken setzt, lass den Wegmachen. Der Rest ist zu 99% meinstens einfach nur Datenmüll in der Registry, den man ruhig stehen lassen kann.
rollwut
PDS-Member
Beiträge: 2071
dabei seit: 29.1.2003
Zitat:

Alexa Related: What's related link (Replace file, nothing done)
C:\WINDOWS\Web\related.htm

DSO Exploit: Data source object exploit (Registry change, nothing done)
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004=W=3

DSO Exploit: Data source object exploit (Registry change, nothing done)
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004=W=3

DSO Exploit: Data source object exploit (Registry change, nothing done)
HKEY_USERS\S-1-5-21-299502267-1177238915-1801674531-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004=W=3

DSO Exploit: Data source object exploit (Registry change, nothing done)
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004=W=3

DSO Exploit: Data source object exploit (Registry change, nothing done)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004=W=3

Windows Media Player: Client ID (Registry change, nothing done)
HKEY_USERS\S-1-5-20\Software\Microsoft\MediaPlayer\Player\Settings\Client ID=

Windows Media Player: Client ID (Registry change, nothing done)
HKEY_USERS\S-1-5-19\Software\Microsoft\MediaPlayer\Player\Settings\Client ID=


--- Spybot-S&D version: 1.2 ---
2003-03-16 Includes\Cookies.sbi
2003-03-16 Includes\Dialer.sbi
2003-03-16 Includes\Hijackers.sbi
2003-03-16 Includes\Keyloggers.sbi
2003-03-16 Includes\Malware.sbi
2003-03-16 Includes\plugin-ignore.ini
2003-03-16 Includes\Security.sbi
2003-03-16 Includes\Spybots.sbi
2003-03-16 Includes\Temporary.sbi
2003-03-16 Includes\Tracks.uti
2003-03-16 Includes\Trojans.sbi



was hat das jetzt zu bedeuten?
rollwut
PDS-Member
Beiträge: 2071
dabei seit: 29.1.2003
 aber ich seh grad das is ne größere sache weil ich nen netzwerk aufbauen will in der neuen wohnung.
dann wart ich lieber mal weil das is auch noch ein win98 rechner dabei.
rollwut
PDS-Member
Beiträge: 2071
dabei seit: 29.1.2003
 so ich lass ma spybot laufen und schau dann ma was so zu finden is.

ansonsten muss ich doch eigentlich nur die dienste zulassen die für netzwerk und internet zuständig sind oder?
dem rest kann ich doch den zugang verwehren
LivingLegend
PDS-Member
Beiträge: 5939
dabei seit: 25.11.2002
 Meinst du jetzt "Tasks" oder "Dienste". Weil über diese SV Hosts mehrere Dienste laufen.

Zum Thema.

Wenn dir ein laufender Prozess (Task) unbekannt vorkommt, dann google danach, du findest da immer was, sollte es ein Malwareprozess sein.
(google)
Bei problemen mit Spyware und CO empfehle ich Grundsätzlich Spybot
http://www.safer-networking.org/ (Signaturenupdate nicht vergessen)

Bei der Konfiguration der Dienste rate ich zu folgendem:

http://www.ntsvcfg.de/kss_xp/kss_xp.html

Weiter unten findest du eine Liste , wie die Dienste zu konfigurieren sind.

Automatisiert als Script zu beziehen bei http://www.ntsvcfg.de/

Vorsicht: Bei vorhandenem Netzwerk sollte die Datei nicht so einfach ausgeführt werden. Lieber mit mir vorher Rücksprache halten.
rollwut
PDS-Member
Beiträge: 2071
dabei seit: 29.1.2003
 kannst mir auch sagen wo so was zu finden ist
weil da wären noch einige mehr und ich will wissen ob da würmer bei sind oder so was
Sony
PDS-Member
Beiträge: 387
dabei seit: 26.2.2004
 svchost ist der "service host", er ist dafür zuständig verschiedene dienste auf deinem rechner zu starten. bei wirklichem interesse such ich dir raus welche dienste das sind
Fatzo
PDS-Member
Beiträge: 7349
dabei seit: 7.9.2003
 ka würd mich auch mal interessieren!
was zB is

em_exec.exe o0 krisch ned ausm auto´start
rollwut
PDS-Member
Beiträge: 2071
dabei seit: 29.1.2003
 kann natürlich jeder antworten der was zu dem thema weiss
Frage an LivingLegend :D
rollwut
PDS-Member
Beiträge: 2071
dabei seit: 29.1.2003
 Was macht eigentlich der svchost.exe wenn der ins i-net connected?
hab mich ma umgesehn aber nix gefunden was meine wissbegier befriedigt hätte

und gibts irgendwas wo man prozesse nachschlagen kann, ob man die braucht und obs vielleicht sogar malware is?