nicht angemeldet
"ykg.exe" - Wurm oder Virus oder was ist das?
n'abends,
so, jetzt isses mir zum erstenmal passiert, daß ich mir was "eingefangen" habe.
Ähm, gleich vorweg: der Rechner, auf dem ich dieses posting tippe, ist "sauber" *g*
Zum Problem: ich bekomme in jüngerer Zeit häufiger mails mit unbekanntem Absender und scheinbar ohne Inhalt, nicht einmal irgendein verdächtiges Attachement hängt dran. Normalerweise landet dieses Zeugs sofort unwiderruflich im Nirvana, aber dann gibts ja noch diese Neugier, was man da fortgeschmissen hat ... Ich habe also auf einem Rechner, der Windows2000Server fährt, eine dieser mails angeklickt, nicht, um sie zu öffnen, sondern um mir den Quelltext anzuschauen. Der Mausklick erbrachte einen Sekundenbruchteile anhaltenden "Blitz", also ein kurzes Wackeln des ganzen Bildschirms, was normalerweise mit "Alarmstufe Rot" gleichzusetzen ist - der Rechner war da schon nicht mehr online. Am Quelltext der mail hab ich dann sehr schnell gesehen, daß es sehr wohl einen "Inhalt" gibt, die typischen Zeichenketten für etwas "Verbotenes" (sorry, wenn ich davon keinen Ausschnitt bereitstellen mag).
Also gut, msil gelöscht, Rechner defragmentiert, Antivirusprogramm drüberlaufen lassen, alles so suaber wie möglich gemacht und neu gestartet. Siehe da, plötzlich finde ich im Autostart-Ordner eine "ykg.exe". Also hab ich das Teil rausgeschmissen, die registry durchsucht, eine Systemsuche nach "ykg" durchgeführt und alles weggeschmissen, was verdächtig aussah. Rechner weider neu gebootet, selbstverständlich nicht online gegangen - und, voila, meine "ykg.exe" steckte wieder im Autostart-Ordner. Das Spiel mit Saubermachen und reboot habe ich dreimal wiederholt, jedesmal steckt das Ding wieder drin im Autostart.
Der einzige Grund, weshalb ich diesen Rechner noch nicht "plattgemacht" habe, besteht darin, daß ich gerne rausfinden wollte, was mir da passiert ist. Am System hat das Teil keinen Schaden angerichtet, und online konnte es sich (hoffentlich) noch nicht verschicken, weil ich diesen Rechner sofort von allen Netzwerkprotokollen getrennt habe. Woher setzt sich so ein Ding immer weider im Autostart-Ordner (der bei mir normalerweise eh leer ist) zusammen, was hat es da an meinem System gefummelt, und welchen Schaden richtet es möglicherweise an? Hat jemand vergleichbare Erfahrungen?
Grüße aus Berlin
Christoph S.
-
Hi Christoph,
zunächst: Seit ich OE von der Platte gefegt habe, verschwende ich an solche Dinge keine Gedanken mehr. Wenn selbst die Vorschau für den Rechner lebensgefährlich sein kann (die könntest du unbeabsichtigt aktiviert haben), hat das Programm seine Daseinsberechtigung verloren. Worum genau es sich handelt, kann ich dir nicht sagen, da keine Suchmaschine es kennt - aber möglicherweise kann es von Ad-Aware entfernt werden. Einen Versuch ist's wert.
Fang' dir nichts ein ;)
LG Roland
--
Warum schreibst *DU* keinen Beitrag? Fauler Sack. Konsument!
http://aktuell.de.selfhtml.org/tippstricks/beitrag.htm-
Der Grund dafür, dass das Programm ständig wieder im Autostart drin ist, kann sein dass es sich mehrfach aufruft (in Windows gibt es wunderbare Möglichkeiten, einen solchen Aufruf ganz easy in die Registry-Datenbank zu stecken).
versuchs mal unter http://www.hackerzbook.de/
Ich schätze mal, dass das Programm auf deinem PC als Service läuft und daher nicht sichtbar ist (nur in der Prozessansicht). Mittlerweile kann es (vielleicht) jede Datei deines Rechners infiziert haben.
Die beste Lösung dagegen ist ein format-Befehl (versuchs aber erst mal über die Registrys).
--
Marc Reichelt || www.marcreichelt.de
--> the new generation of webdesign...
tel.: 0049/6181/72224
fax.: 0049/6181/740724
e-mail:-
Dir einen speziell freundlichen Gruß, vielleicht bringt dich das auf den Geschmack,
versuchs mal unter http://www.hackerzbook.de/
was soll Christoph dort?
Ich schätze mal, dass das Programm auf deinem PC
Nein, auf Christophs PC.
Die beste Lösung dagegen ist ein format-Befehl
Dieser Vorschlag ist gemeingefährlich - du weißt, warum.
(versuchs aber erst mal über die Registrys).
Wie?
Gruß Roland
BTW, hier haben dir schon einige Leute gesagt, dass dein Plakat irrsinnig nervt. Warum änderst du es trotzdem nicht? Aus Trotz? Die Größe ist schlicht eine Zumutung. Informiere dich bitte über Signaturen und wie man sie sinnvoll (=sparsam) einsetzt. Penetranz folgt Ignoranz und das willst du sicher nicht nur wegen einer im Grunde unwichtigen Signatur, die dennoch viele vor den Kopf stößt herausfordern, oder? Also: bitte.
--
Warum schreibst *DU* keinen Beitrag? Fauler Sack. Konsument!
http://aktuell.de.selfhtml.org/tippstricks/beitrag.htm-
Das mit dem format-Befehl ist sicher gefährlich, aber es ist die letzte (und Beste!) Lösung, um einen Virus von einem PC zu entfernen, nur gehen dabei halt die Daten drauf...
Das mit der URL ist so zu verstehehn: Ich habe das Buch gekauft und gelesen, und dort stand einiges über Viren (auch über die Registry-Einträge).
Ich hoffte einfach, dass auf der Webseite ein paar Infos mehr stehen...--
Marc Reichelt || www.marcreichelt.de
--> the new generation of webdesign...
tel.: 0049/6181/72224
fax.: 0049/6181/740724
e-mail:-
Hi Marc,
Das mit dem format-Befehl ist sicher gefährlich, aber es ist die letzte (und Beste!) Lösung, um einen Virus von einem PC zu entfernen, nur gehen dabei halt die Daten drauf...
eben, es gibt bessere Methoden, so etwas wieder loszuwerden. Formatieren ist keine Lösung.
Danke übrigens für die "Zivilversion" deines Banners.
LG Roland
--
Warum schreibst *DU* keinen Beitrag? Fauler Sack. Konsument!
http://aktuell.de.selfhtml.org/tippstricks/beitrag.htm
-
-
-
Moin,
Der Grund dafür, dass das Programm ständig wieder im Autostart drin ist, kann sein dass es sich mehrfach aufruft (in Windows gibt es wunderbare Möglichkeiten, einen solchen Aufruf ganz easy in die Registry-Datenbank zu stecken).
Ja, und das gute alte msconfig (wurde bei allen mir bekannten Systemen gleich mitinstalliert) zeigt dir soweit ich weiss alle Möglichkeiten wunderbar zusammengesammelt an.
--
Henryk Plötz
Grüße aus Berlin
-
-
-
Tach
Ist jetzt nur ein Schuß in's Blaue, aber schau Dir das mal an: http://securityresponse.symantec.com/avcenter/venc/data/backdoor.coreflood.html
Thomas J.
-
Hi Christoph
Ich bin kein PC-Doktor, jedoch hätte ich da noch einige Hausmittelchen und seltsame Heilkräuter, die dir vielleicht helfen können.
Nach dem Löschen und einem Reboot ist die Datei wieder da, sagst du? Dann muss diese doch sonst noch irgendwo existieren. Der Name scheint auf eine pseudo-zufällig generiert worden sein, denn sonst würdest du bestimmt etwas dazu im Internet finden.
Such am besten mal nach Dateien derselben grösse (jedoch nicht nur .exe-Files). Über eine Hash-Prüfsumme kannst du feststellen, ob es sich um dieselbe Datei handelt, sofern der Dateiname nicht miteinbezogen wird (ich kenn mich damit nicht so gut aus). Notfalls kannst du die Datei auch noch umbenennen.Gute Besserung & HtH
Tom2
--
"Experience is something you don't get until just after you need it."
by Steven Wright