Magic Mike: Dieser Virus hat mich erwischt: W32/Nimda.s@MM

Moin Leute,

ich drehe hier gerade am Rad. Trotz Firewall und aktivem, aktuellem
McAfee wurde mein WebServer von W32/Nimda.s@MM infiziert.

Win2000 Advanced WebServer.

Hier mal ein Ausschnitt aus dem McAfee Log:

11.02.2004 17:10 Fehler beim Säubern MIRO2000\Administrator
C:\Inetpub\wwwroot\palazogermany\tftp1428.vir W32/Nimda

Wenn ich diese Datei(en) löschen möchte, dann sagt der PC - Ätsch
geht net, die sind im Zugriff.

BTW: Würde wahrscheinlich auch nichts nützen, wenn ich sie löschen könnte.

Ich habe die aktuelle Stinger.exe drüber laufen lassen, ohne Ergebnis.

Symantec hat nur Removel-Tools für Nimda.a und Nimda.e

Bei Google habe ich auch nichts gegen Nimda.s gefunden.

Und was ich nun?

Danke & regds
Mike

  1. Servus,

    ja nun Linux installieren. :-))

    Spas beiseite auch einen Advanced Server kann man im abgesicherten modus hoch fahren.
    Dann eben auf Commandozeile löschen.

    Gruss Matze

    1. Moin MatzeA,

      Dann eben auf Commandozeile löschen.

      Da hast Du wohl recht, aber ich bin mir ziemlich sicher das es mit
      dem Löschen dieser dateien nicht getan ist.

      regds
      Mike

      1. Servus,

        schehr zu sagen ich mag den MC Affee nicht und verwende deswegen den Norton Antivir.

        Warum sollte jedoch der Viren Scanner dch anlügen?
        Eventuell ist er ja selber befallen...
        Könnte sein.

        Dann hilft eigentlich nur ein externes von der CD Bootbares tool, mit dem Du Deine komplette Platte einmal abschrubbst und es prüfen lässt.

        Wie das Tool heisst weiss ich nicht. Hatte jedoch erst von wenigen Tagen genau solche CD in der Hand.

        Gruss Matze

        1. Moin MatzeA

          schehr zu sagen ich mag den MC Affee nicht und verwende deswegen den Norton Antivir.

          Norton verbraucht zuviel System Resourcen und die korrekte
          Konfiguration dauert Tage.

          Bei mir hat er innerhalb von 20 Minuten mein internes Netzwerk
          lahmgelegt. Er war zu gewissenhaft :-)

          regds
          Mike

        2. Hallo MatzeA,

          schehr zu sagen ich mag den MC Affee nicht und verwende deswegen den Norton Antivir.

          taugt noch weniger, als der mcaffee. hol dir den kaspersky oder den von g-data (der hat neben dem kaspersky noch 2 andere engines drin und ist damit testsieger geworden).

          Warum sollte jedoch der Viren Scanner dch anlügen?

          wenn ich ein virus wäre, würde ich meine signatur einfach aus den daten des scanners löschen oder ihn abschiessen und sein icon in der taskleiste übernehmen.

          Dann hilft eigentlich nur ein externes von der CD Bootbares tool, ...
          Wie das Tool heisst weiss ich nicht. Hatte jedoch erst von wenigen Tagen genau solche CD in der Hand.

          knoppix? ;-)

          freundl. Grüße aus Berlin, Raik

          1. Servus,

            ja koppix wars..
            Wegen vieren mache ich mir meistens wenig gedanken, hat man doch dank Fiewall alles Schotten so gut wie dicht.

            Also ich kann mich nicht beklagern, bislang (toi toi toi) haben mich Viren soweit verschont.
            Ja gut man öffnet auch keine Mails mit zweifelhaften Anhängen.

            Gruss Matze

            1. Moin MatzeA,

              Wegen vieren mache ich mir meistens wenig gedanken, hat man doch dank Fiewall alles Schotten so gut wie dicht.

              Leider nicht, wie man sieht.

              Ja gut man öffnet auch keine Mails mit zweifelhaften Anhängen.

              Ich verwende TheBat, da sollte eigentlich auch nix passieren.

              regds
              Mike

              1. Servus,

                also an unserer firewall ist gerade mal FTP HTTP als Protokoll erlaubt sowie Port 21 und 80 8080 offen.

                -> Also doch dcht bis zum exitus.
                Und dass sich ein virus, sofern kein Trojaner ein hintertürchen öffnet, per Port 80 8080 und dem ftp oder HTTP Protokoll irgendwo meinschleusst, hätte ich noch nicht gehört.

                Vieleicht hilft dir das Handbuch der Firewall weiter.
                Dazu gibt es im Internet noc gute Bücher wie man dem Windows spezielle Dienste entmündigt.

                Windwos aus sicht dfer Hackers wars glaube ich was mir einiges zum Thema Sicherheit beigebracht hat.

                Oder ne Das Anti Hacker Buch für Windows.

                Gruss Matze

                1. Hallo MatzeA,

                  Dazu gibt es im Internet noc gute Bücher wie man dem Windows spezielle Dienste entmündigt.

                  Bücher???
                  http://www.ntsvcfg.de/

                  freundl. Grüße aus Berlin, Raik

                  1. Servus,

                    Bücher???

                    HTML Seiten eben..... :-)

                    Gruss Matze

  2. Moin Leute,

    Stand der Dinge:

    • Der WebServer bootet wie er lustig ist.

    • Ausdrucken ist nicht mehr möglich, egal welches Programm,
        auf allen Rechnern im Netzwerk.

    • Ich habe McAfee im "Abgesicherten Modus" laufen lassen, und
        der sagt - Nix gefunden -

    Ich brech zusammen.

    regds
    Mike

    1. Tja, so spielt das Leben. ;-)

      1. Moin,

        »» Tja, so spielt das Leben. ;-)

        Und ich spiele mit. Deine Kommentare sind SUPI.

        regds
        Mike

        1. Und ich spiele mit. Deine Kommentare sind SUPI.

          Ich weiß, sonst würd ich sie ja nicht schreiben. ;-)
          Aber nimms nicht so ernst, die Lage ist aussichtslos.

          1. Moin,

            Ich weiß, sonst würd ich sie ja nicht schreiben. ;-)
            Aber nimms nicht so ernst, die Lage ist aussichtslos.

            Ich verstehe, Du bist der Freund in der Not!
            Da bin ich ich froh das es sowas noch gibt. TY

            Dann werde ich mal meinen Server in den gelben Sack packen.
            Ob die den nehmen, er ist immerhin verseucht.

            regds
            Mike

            1. Dann werde ich mal meinen Server in den gelben Sack packen.
              Ob die den nehmen, er ist immerhin verseucht.

              Keine Ahnung, vielleicht fürchen sie dann in Asien die Computergrippe.

              MsW (mit schlechten Witzen), Der_Verarscher

              1. Moin,

                MsW (mit schlechten Witzen), Der_Verarscher

                ausgewitzlt: Hier laufen 8 Rechner nicht mehr.
                Da habe ich jetzt nicht die Verfassung für Späße.

                Sonst gerne.

                regds
                Mike

                1. Sorry

                  --

                  Was ist, wenn Windows abstürtzt und keiner steht dabei?
                  1. Moin

                    »» Sorry

                    No Prob, es gibt wichtigeres :-) Aber hier brennt es grade!

                    regds
                    Mike

  3. Und was ich nun?

    Abwarten und Tee trinken

    1. Moin,

      Abwarten und Tee trinken

      Yep, das war des Rätsels Lösung :-(

      regds
      Mike

  4. Hallo Magic,

    ich drehe hier gerade am Rad. Trotz Firewall und aktivem, aktuellem
    McAfee wurde mein WebServer von W32/Nimda.s@MM infiziert.

    woher hast du diese info?
    laut datenbank auf mcafee.com kennt mcafee keinen nimda.s .

    btw. gibts denn im taskmanager einen prozess "tftp1428.vir" ?

    du bist nicht zufällig in berlin?

    freundl. Grüße aus Berlin, Raik

    1. Moin

      woher hast du diese info?
      laut datenbank auf mcafee.com kennt mcafee keinen nimda.s .

      Aus dem Log File von McAfee

      btw. gibts denn im taskmanager einen prozess "tftp1428.vir" ?

      Muss ich mal prüfen.

      du bist nicht zufällig in berlin?

      Nein, aus Mannheim

      regds
      Mike