seth: wurm-entfernung unter windows xp pro

gudn tach!

ich werde morgen frueh versuchen, via telefon jemanden zu dirigieren seinen computer (windows xp pro) zu desinfizieren.
hat jemand von euch erfahrung mit dem wurm KillAV/GR?
er scheint relativ boese zu sein, allerdings nur am 3. tag eines monats. habe ich das richtig verstanden? oder macht er auch an den anderen tagen was destruktives?
falls er an den anderen tagen eher harmlos ist, koennte man mit dem infizierten system ein entfernungs-tool runterladen und ihn als admin damit beseitigen? die anleitung von symantec beschreibt das jedenfalls so.
ich merke gerade, dass ich lange nix mehr mit viren, wuermern und solchem zeugs zu tun hatte. aber frueher wollte man doch immer vermeiden, ein infiziertes system zum desinfizieren zu verwenden. ist das heute anders?

was haltet ihr fuer die vernuentigste moeglichkeit, das ding (und allgemein: solche dinger) loszuwerden?
dateisystem ist ntfs, weshalb ich vermute, dass die alte win98-boot-disketten-methode nix bringt.

prost
seth

  1. Hi!

    was haltet ihr fuer die vernuentigste moeglichkeit, das ding (und allgemein: solche dinger) loszuwerden?

    Neuinstallation.

    Gruß aus Iserlohn

    Martin

    --
    Ein Versicherungsvertreter verkauft Versicherungen. Was verkaufen dann Volksvertreter?
    Selfcode: ie:{ fl:( br:^ va:) ls:# fo:| rl:( n4:( ss:| de:> js:) ch:? sh:( mo:| zu:)
    1. gudn tach!

      was haltet ihr fuer die vernuentigste moeglichkeit, das ding (und allgemein: solche dinger) loszuwerden?

      Neuinstallation.

      hmpf, ja, ok, das ist wohl die gruendlichste. aber ist es auch die vernuenftigste, wenn man noch als nebenbedingung miteinfliessen laesst, dass eine neuinstallation nur mit enormem zeit- und nicht zu vernachlaessigendem geld-aufwand betrieben werden kann?

      prost
      seth

      1. HI!

        was haltet ihr fuer die vernuentigste moeglichkeit, das ding (und allgemein: solche dinger) loszuwerden?

        Neuinstallation.

        hmpf, ja, ok, das ist wohl die gruendlichste. aber ist es auch die vernuenftigste, wenn man noch als nebenbedingung miteinfliessen laesst, dass eine neuinstallation nur mit enormem zeit- und nicht zu vernachlaessigendem geld-aufwand betrieben werden kann?

        Eine Neuinstallation kostet immer Zeit (und damit Geld). Aber du wärst jetzt wahrscheinlich schon fertig ;-)

        Du weisst nie, ob der Wurm nicht noch eine Dropper-Funktion hatte und du somit noch mehr Probleme hast, als du denkst.

        Gruß aus Iserlohn

        Martin

        --
        Spiele dein Lied, aber zwinge die Melodie nicht der übrigen Menschheit auf.
        Selfcode: ie:{ fl:( br:^ va:) ls:# fo:| rl:( n4:( ss:| de:> js:) ch:? sh:( mo:| zu:)
        1. gudn tach!

          Eine Neuinstallation kostet immer Zeit (und damit Geld). Aber du wärst jetzt wahrscheinlich schon fertig ;-)

          nee. und dass der computer ein paar hundert km von hier entfernt steht, ist dabei nur eine von mehreren huerden.

          prost
          seth

  2. Hallo,

    die anleitung von symantec beschreibt das jedenfalls so.

    Diese Anleitungen haben bei mir jedenfalls immer funktioniert.

    aber frueher wollte man doch immer vermeiden, ein infiziertes system zum desinfizieren zu verwenden. ist das heute anders?

    Jaein - im besten Fall gehst du online, lädst das Removetool runter und bist glücklich. Im schlimmsten Fall hat sich schon ein böser Mensch an dem Rechner zu schaffen gemacht und ein Rootkit installiert, sodass alle Gegenmaßnahmen sinnlos werden.

    was haltet ihr fuer die vernuentigste moeglichkeit, das ding (und allgemein: solche dinger) loszuwerden?

    Aktuelle Internetsecuritysuite kaufen und nicht als Administrator durch die Gegend surfen.

    Grüße, Ulli

    1. gudn tach!

      danke fuer die antwort.

      im besten Fall gehst du online, lädst das Removetool runter und bist glücklich. Im schlimmsten Fall hat sich schon ein böser Mensch an dem Rechner zu schaffen gemacht und ein Rootkit installiert, sodass alle Gegenmaßnahmen sinnlos werden.

      also der rechner sitzt hinter einer windows-, viren- und wurmfreien hardware-firewall, die nur lokale anfragen an den lokalen mailserver "rein" laesst. "raus" darf man ueber alle ports.
      hmm, aber genuegt das noch, um potenzielle eindringlinge abzuwehren, wenn der rechner infiziert ist?

      was haltet ihr fuer die vernuentigste moeglichkeit, das ding (und allgemein: solche dinger) loszuwerden?
      Aktuelle Internetsecuritysuite kaufen und nicht als Administrator durch die Gegend surfen.

      es bringt zwar etwas, nicht als admin zu surfen, aber auch als normaler benutzer oder hauptbenutzer (wie in diesem fall) kann man seine daten durch solche malware im schlimmsten fall loeschen lassen.

      wie ist das eigentlich (ich habe hier gerade kein xp zur verfuegung, sonst koennte ich es ja ausprobieren): kann man als hauptbenutzer dem admin etwas boeses unterjubeln, z.b. ueber die registry (stichwort "Run")? denn wenn der admin verschont bliebe, sollte das wurm-problem ja fix geloest werden koennen.

      von internetsecuritysuite-dingern, die versprechen alles zu koennen, halte ich nicht viel. in den letzten 5 jahren funktionierte die wenn-was-suspektes-per-email-kommt-oeffne-ich-es-nicht-sondern-leite-es-direkt-an-seth-weiter-methode eigentlich ganz gut. zusaetzlich hatte ich bei den leuten, denen ich grobe fehler zutraue immer einen speicher-residenten virenscanner installiert. dieses mal scheint der - eigentlich vernuenftige und hoerige - user einfach mist gebaut zu haben.

      prost
      seth

      1. Hallo,

        also der rechner sitzt hinter einer windows-, viren- und wurmfreien hardware-firewall, die nur lokale anfragen an den lokalen mailserver "rein" laesst. "raus" darf man ueber alle ports.
        hmm, aber genuegt das noch, um potenzielle eindringlinge abzuwehren, wenn der rechner infiziert ist?

        Wenn schon der Wurm/Virus reingekommen ist, dann würde ich auf nix mehr wetten.

        Wegen der Securitysuite ... McAfee's Lösung ist eine echte Waffe. Mit Standardeinstellungen hatte das Ding sogar meinen Thunderbird in Quarantäne gesetzt, weil verdächtige Aktivitäten festgestellt wurden.

        Grüße, Ulli

        1. gudn tach Ulli!

          [meine neue frage zum geaenderten thema befindet sich weiter unten]

          Wegen der Securitysuite ... McAfee's Lösung ist eine echte Waffe. Mit Standardeinstellungen hatte das Ding sogar meinen Thunderbird in Quarantäne gesetzt, weil verdächtige Aktivitäten festgestellt wurden.

          wenn das auch geschieht, obwohl im thunderbird gar nix schlimmes passiert, sehe ich sowas als disfunction.
          unbedarfte user wissen dann nicht, was sie tun sollen, denken thunderbird sei boese und fangen an nach dem admin zu schreien, der ihnen dann thunderbird wieder aus der quarantaene holen muss (oder darf der user das selbst? falls ja, waere es imho sinnlos). wenn ein admin in der naehe ist und die security-software nicht allzu oft mist baut, dann geht sowas. wenn der admin aber oft nur telefonisch erreichbar ist (was zugegebenermassen keine gute eigenschaft eines admins ist), dann haelt sowas nur auf.
          ich habe mittlerweile ja festgestellt, dass scheinbar paradoxerweise ein halbwegs gescheit konfigurierter e-mail-client nur durch sehr grosse doofheit noch ueberlistet werden kann. denn das speichern von dateianhaengen will ich dem user nicht verbieten, was mich zu einer neuen frage fuehrt:

          [neue frage]
          welche moeglichkeiten gibt es, in thunderbird oder einem anderen guten e-mail-client fuer windows, dem benutzer zu verbieten, anhaenge eines bestimmten vom admin vorgegebenen dateiformates zu oeffnen oder zu speichern? in ms outlook (express) gab's iirc ja eine option "unsichere dateiformate" zu sperren. sowas aehnliches suche ich, allerdings mit mehr einstellungsmoeglichkeiten.
          waere es z.b. moeglich, im e-mail-client bestimmte datei-endungen mit einer batch-datei zu verknuepfen, die _nix_ macht? (ich bin hier gerade kein admin und kann es deswegen nicht ausprobieren.)

          prost
          seth

          1. Hallo,

            wenn das auch geschieht, obwohl im thunderbird gar nix schlimmes passiert, sehe ich sowas als disfunction.

            Kann man drüber streiten - jedenfalls zwingt das Programm den Anwender dazu sich Gedanken drüber zu machen was erlaubt sein soll und was nicht.

            [neue frage]
            welche moeglichkeiten gibt es, in thunderbird oder einem anderen guten e-mail-client fuer windows, dem benutzer zu verbieten, anhaenge eines bestimmten vom admin vorgegebenen dateiformates zu oeffnen oder zu speichern?

            Das ist nicht Aufgabe eines Mailclients - sowas macht der Mailserver, da der vermeintliche Schadcode erst gar nicht auf den Rechner soll.

            waere es z.b. moeglich, im e-mail-client bestimmte datei-endungen mit einer batch-datei zu verknuepfen, die _nix_ macht? (ich bin hier gerade kein admin und kann es deswegen nicht ausprobieren.)

            Ja klar - im Thunderbird unter: Extras -> Einstellungen -> Anhänge.

            Grüße, Ulli

            1. Hi Ulli,

              welche moeglichkeiten gibt es, in thunderbird oder einem anderen guten e-mail-client fuer windows, dem benutzer zu verbieten, anhaenge eines bestimmten vom admin vorgegebenen dateiformates zu oeffnen oder zu speichern?
              Das ist nicht Aufgabe eines Mailclients - sowas macht der Mailserver, da der vermeintliche Schadcode erst gar nicht auf den Rechner soll.

              wenn das so wäre, dann würde ich dem Admin des Mailservers -symbolisch gesehen- rechts und links eine Ohrfeige verpassen und mir einen anderen Anbieter suchen. Es kann ja wohl nicht sein, dass jemand anders für mich entscheidet, welche Mails (bzw. welche Anhänge) ich empfangen darf und welche nicht. Der Mailserver hat die Aufgabe, an mich adressierte Sendungen unverändert an mich weiterzureichen.
              Der Briefträger sortiert meine Post ja auch nicht vor und wirft das, was er für ungeeignet hält, in die Gosse. Wo kämen wir denn da hin!

              Schönen Abend noch,
               Martin

              --
              Ungeschehene Ereignisse können einen katastrophalen Mangel an Folgen nach sich ziehen.
                (Unbekannter Politiker)
              1. Hallo.

                Der Briefträger sortiert meine Post ja auch nicht vor und wirft das, was er für ungeeignet hält, in die Gosse.

                Und zwar weil die Briefbomben und anderweitig kontaminierten Sendungen bereits in den Briefzentren aussortiert werden, soweit dies technisch möglich möglich ist.
                MfG, at

            2. gudn tach!

              welche moeglichkeiten gibt es, in thunderbird oder einem anderen guten e-mail-client fuer windows, dem benutzer zu verbieten, anhaenge eines bestimmten vom admin vorgegebenen dateiformates zu oeffnen oder zu speichern?
              Das ist nicht Aufgabe eines Mailclients - sowas macht der Mailserver, da der vermeintliche Schadcode erst gar nicht auf den Rechner soll.

              zwar hat Der Martin bzgl. der zu grossen bevormundung in vielen faellen (z.b. bei privaten e-mails) recht, aber in diesem fall wuerde ich den mailserver nicht unbedingt als postbote, sondern eher als programmierbaren, sprechenden high-tech-briefkasten interpretieren, der dem brieftraeger z.b. sagt "igitt, was ist das denn? nee, nee, das will ich nicht, das kannst du gleich wieder mitnehmen und an den seth weiterschicken!".
              ein paar der e-mail-accounts werden via gmx abgerufen und die haben tolle filter, die ich mal nach einer solchen einstellungsmoeglichkeit durchforsten koennte. ansonsten koennte ich auch einfach den lokalen mailserver (hamster) mal versuchen anders zu konfigurieren. daran hatte ich gar nicht mehr gedacht.
              *sich_erinner* ach, ich glaube, ich hatte schon mal probleme, beim hamster eine externe e-mail-adresse fuer den admin anzugeben. muss ich mich wohl noch mal genauer mit auseinandersetzen.

              waere es z.b. moeglich, im e-mail-client bestimmte datei-endungen mit einer batch-datei zu verknuepfen, die _nix_ macht? (ich bin hier gerade kein admin und kann es deswegen nicht ausprobieren.)
              Ja klar - im Thunderbird unter: Extras -> Einstellungen -> Anhänge.

              oh, wenn das wirklich das ist, was ich moechte, waer's klasse. werde ich mir naechste woche mal anschauen.

              prost
              seth

  3. gudn tach!

    ich werde morgen frueh versuchen, via telefon jemanden zu dirigieren seinen computer (windows xp pro) zu desinfizieren.

    puh, noch mal schwein gehabt. ich konnte soeben im telefongespraech eruieren, dass der user die datei im thunderbird zwar doppelt angeklickt hatte, jedoch von thunderbird danach gefragt wurde, was mit der datei zu machen sei, weil thunderbird mit pif erstmal nix anfangen kann/darf. das wurde dem user dann doch zu suspekt, er brach ab und schickte die e-mail an mich weiter mit der aussage, er habe die datei nicht oeffnen koennen. naja, und ich habe halt gleich fleissig damit begonnen meine stifte hervorzuholen, um damit einen dicken teufel an die wand zu malen. ;-)

    prost
    seth