Supportnet / Forum / Windows2000
HELP! I am under Klez Wurm Attack!!!! :o((((
Frage
HELP!!!
... seit zwei Wochen herrscht ein offener Kampf auf meinem Schreibtisch zwischen dem W32.Klez.H@mm Wurm und meinem Norton Anti Virus 2002! ... NAV erkent den Wurm, der sich fortlaufend neu generiert mit *.exe, *.rar, *.pdf Dateien, kann diese Dateien aber niemals reparieren und nur isolieren. Bei einem Viren Check mit NAV oder Anti Vir werden niemals Viren und Würmer festgestellt auf meiner Platte! ... auch das Removal Programm "FizKlez.com" von Symantec konnte den Wurm nicht aufspüren! ... Der Klez-Wurm hängt IMMER in den beiden Ordnern mit mp3s und avi-Dateien, manuell sind die Dateien aber nicht zu finden!!!
Was kann ich noch tun außer Formatieren????? :o(( ... und warum kann der Wurm nicht durch Viren-Suchprogramme gefunden werden????
Vielen Dank!
Limbo
Antwort 1 von Mickey
Hast du dir schon die Removal Tools von Bitdefender angesehen?
Eventuell einen Online Scan übers System laufen lassen?
Finden der vom Klez-Virus versteckten Dateien?
Gruss,
Mic
Eventuell einen Online Scan übers System laufen lassen?
Finden der vom Klez-Virus versteckten Dateien?
Gruss,
Mic
Antwort 2 von Fil
Hallo Limbo,
1. wenn du freigaben hast beende die zuerst.!
2. bevor du ans entfernen gehst.
Grus Fil
schreibfehler ©Fil
1. wenn du freigaben hast beende die zuerst.!
2. bevor du ans entfernen gehst.
Grus Fil
schreibfehler ©Fil
Antwort 3 von Limbo
HI Mickey!
thx 4 Antwort!
... also Bit Defender hat Nix gebracht! ...dagegen hat der DOS Befehl Dir d: /A:H / etc .... eine Liste mit versteckten Dateien generiert!
15/08/2002 14:59 54 wvline.gif
15/08/2002 14:59 8.248 wvleft.bmp
15/08/2002 14:59 80 plushot.gif
15/08/2002 14:59 59 pluscold.gif
15/08/2002 14:59 77 minhot.gif
15/08/2002 14:59 56 mincold.gif
6 Datei(en) 8.574 Bytes
Diese Dateien sind normal NICHT zu sehen im Explorer!
Sind das infizierte Dateien????????????
thx 4 Antwort!
... also Bit Defender hat Nix gebracht! ...dagegen hat der DOS Befehl Dir d: /A:H / etc .... eine Liste mit versteckten Dateien generiert!
15/08/2002 14:59 54 wvline.gif
15/08/2002 14:59 8.248 wvleft.bmp
15/08/2002 14:59 80 plushot.gif
15/08/2002 14:59 59 pluscold.gif
15/08/2002 14:59 77 minhot.gif
15/08/2002 14:59 56 mincold.gif
6 Datei(en) 8.574 Bytes
Diese Dateien sind normal NICHT zu sehen im Explorer!
Sind das infizierte Dateien????????????
Antwort 4 von Mickey
15/08/2002 14:59 54 wvline.gif = Grafikmanagement
15/08/2002 14:59 8.248 wvleft.bmp = Wolkenbitmap
usw.
hier eine Übersicht:
http://www.fmi.uni-passau.de/gmunden/Folder%20Settings/
Sind meiner Ansicht nach Systembildchen.
Gruss,
Mic
15/08/2002 14:59 8.248 wvleft.bmp = Wolkenbitmap
usw.
hier eine Übersicht:
http://www.fmi.uni-passau.de/gmunden/Folder%20Settings/
Sind meiner Ansicht nach Systembildchen.
Gruss,
Mic
Antwort 5 von Limbo
Danke Dir Mickey! ... sind wirklich alles Systembilder! Dann bin ich leider jedoch keinen Centimeter weiter gekommen bei der Problemlösung!
Gruss
Limbo
Gruss
Limbo
Antwort 6 von Redschina
hi limbo,
mach doch mal deine virenscanner aus (nav meckert ja ganz gerne mal - hab ich jedenfalls hier schon oft gelesen) und überprüfe deinen rechner durch einen online-virencheck...
übersichtsseite für online-scans
viel erfolg und "trotzdem" ein gutes neues jahr ;-)
gruss, redschina
mach doch mal deine virenscanner aus (nav meckert ja ganz gerne mal - hab ich jedenfalls hier schon oft gelesen) und überprüfe deinen rechner durch einen online-virencheck...
übersichtsseite für online-scans
viel erfolg und "trotzdem" ein gutes neues jahr ;-)
gruss, redschina
Antwort 7 von Limbo
Danke für den Tipp und gutes Jahr 03 natürlich auch 4U! :-)
LG
Limbo
LG
Limbo
Antwort 8 von Limbo
Norton Anti Virus 2002 findet den Klez-Wurm, Anzeige "Viruswarnung, Aktion: die Datei konnte nicht repariert werden", danach erscheint die Meldung "Zugriff auf Datei wurde verwehrt"!
Wie kann ich auf diese Dateien zugreifen, die auch nicht durch den DOS Befehl Dir d: /A:H /S>liste.txt gefunden werden können????
Vieeeeeelen Dank!!!!
Wie kann ich auf diese Dateien zugreifen, die auch nicht durch den DOS Befehl Dir d: /A:H /S>liste.txt gefunden werden können????
Vieeeeeelen Dank!!!!
Antwort 9 von Mickey
Hast du es schon unter DOS mit FProt oder dem Bitdefender Tool versucht?
F-Prot
F-Prot Info
F-Prot Testbericht
F-Prot Homepage
F-Prot Bootdisks
BitDefender MS-DOS Edition v.7.0
Gruss,
Mic
F-Prot
F-Prot Info
F-Prot Testbericht
F-Prot Homepage
F-Prot Bootdisks
BitDefender MS-DOS Edition v.7.0
Gruss,
Mic
Antwort 10 von Roland Kunz
Hallo
Woher weisst du das es ein Klez Wurm ist ?
Versteckte Dateinen siehst du normalerweise wenn du das kreuz bei den ordneroptionen rausnimmst.
Viruse starten oft Services/Dienste und das findest du per Taskmanger oder bei Dienste unter der MMC. Evtl. hast du auch einen Eintrag im Geräteordner unter nicht PnP Geräte.
Zum saubermachen installierst du zur Not ein zweites W2k Paralel und kannst dann die infekten Dateien aus der originalinstallation löschen ( weil die ja nicht geladen werden ).
Kannst es auch per: cmd/ sfc/ purgecache versuchen.
Vergiss nicht anschliessend vor dem Neustart die regestry zu säubern.
Der Dosbefehl "etc" läuft bei mir nicht ;). Unter a:h seh ich alle ausgeblendeten Systemdateien die ich auch per Shell im Explorer find.
Klez ist normaleweise um 120 kb gross.
Deine Dateien sehen aus wie von einem Minitool zur Temperaturkontrolle der CPU.
Grüsse
Woher weisst du das es ein Klez Wurm ist ?
Versteckte Dateinen siehst du normalerweise wenn du das kreuz bei den ordneroptionen rausnimmst.
Viruse starten oft Services/Dienste und das findest du per Taskmanger oder bei Dienste unter der MMC. Evtl. hast du auch einen Eintrag im Geräteordner unter nicht PnP Geräte.
Zum saubermachen installierst du zur Not ein zweites W2k Paralel und kannst dann die infekten Dateien aus der originalinstallation löschen ( weil die ja nicht geladen werden ).
Kannst es auch per: cmd/ sfc/ purgecache versuchen.
Vergiss nicht anschliessend vor dem Neustart die regestry zu säubern.
Der Dosbefehl "etc" läuft bei mir nicht ;). Unter a:h seh ich alle ausgeblendeten Systemdateien die ich auch per Shell im Explorer find.
Klez ist normaleweise um 120 kb gross.
Deine Dateien sehen aus wie von einem Minitool zur Temperaturkontrolle der CPU.
Grüsse
Antwort 11 von Limbo
thx 4 Antwort!
Dass es Klez Wurm ist, zeigt mir Norton Anti Virus 2002 fünf mal am Tag an! .... komischerweise sind NUR die Ordner von Klez befallen, die in der Frreigabe eines Windows Netzwerkes sich befinden! .... ausschliesslich! ... beim Virenscannen und Einsetzen von Anti Klez Tools ist natürlich die Freigabe von Dateien aktiviert!
... Frage: kann man problemlos die Temp Dateien unter Windows 2000 in
E:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp
löschen oder liegen hier auch wichtige Systemdateien??? Evtl. liegen auch hier Würmer?
Vielen Dank!!!
Dass es Klez Wurm ist, zeigt mir Norton Anti Virus 2002 fünf mal am Tag an! .... komischerweise sind NUR die Ordner von Klez befallen, die in der Frreigabe eines Windows Netzwerkes sich befinden! .... ausschliesslich! ... beim Virenscannen und Einsetzen von Anti Klez Tools ist natürlich die Freigabe von Dateien aktiviert!
... Frage: kann man problemlos die Temp Dateien unter Windows 2000 in
E:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp
löschen oder liegen hier auch wichtige Systemdateien??? Evtl. liegen auch hier Würmer?
Vielen Dank!!!
Antwort 12 von ducky
Unter Win98 habe ich das ganz gut mit einem tool von Kaspersky hingekriegt, läuft unter DOS. Ein online-check hat damals übrigens nicht funktioniert, weil der Virus die Verbindungen immer getrennt hat. Geh halt mal zu Kaspersky und schau nach. Ich bin nicht zuhause, sonst könnte ich das gezipte Programm schicken.
Gruß
Gruß
Antwort 13 von Sarah.S
Den Temp-Ordner kannst du bedenkenlos löschen- maximal sind hier noch alte Installationsreste.
Sarah
Sarah
Antwort 14 von back_D_
hi, wir hier in der "berufsschule" hatten auch mal das problem. der virus verbreitet sich nur über freigabeordner. also alle freigaben weg, mit oben genannten tools scannen und alle löschen. seitdem keine probs mehr.
Antwort 15 von FakeAccount
hab jetzt nicht alles gelesen, trotzdem:
in der arbeit hatten wir den clez.h ebenfalls. wir haben dann unser netzwerk mit "Sophos Anti Virus" gescannt und konnten ihn löschen. lad dir halt auch sophos runter. und scann ZWEI mal.
Gruß ::fake::
in der arbeit hatten wir den clez.h ebenfalls. wir haben dann unser netzwerk mit "Sophos Anti Virus" gescannt und konnten ihn löschen. lad dir halt auch sophos runter. und scann ZWEI mal.
Gruß ::fake::
Antwort 16 von Redschina
hi limbo,
eine eigenheit von klez ist ja, einige virenscanner zu deaktivieren (u.a. NAV) - vielleicht liegts daran?
-------------
"Das Virus versucht darüber hinaus Antivirenprogramme zu blockieren, indem es folgende Prozesse killt:
_AVP32 NAVLU32 NAVWNT SWEEP95
_AVPCC NAVRUNR ANTIVIR PCCWIN98
NOD32 NAVW32 AVPUPD IOMON98
NPSSVC _AVPM AVGCTRL AVPTC
NRESQ32 ALERTSVC AVWIN95 AVE32
NSCHED32 AMON SCAN32 AVCONSOL
NSCHEDNT AVP32 VSHWIN32 FP-WIN
NSPLUGIN AVPCC F-STOPW DVP95
NAV AVPM F-PROT95 F-AGNT95
NAVAPSVC N32SCANW ACKWIN32 CLAW95
NAVAPW32 VET95 VETTRAY NVC95
und folgende Datenbanken von Antivirenprorgammen entfernt:
ANTI-VIR.DAT
CHKLIST.DAT
CHKLIST.MS
CHKLIST.CPS
CHKLIST.TAV
IVB.NTZ
SMARTCHK.MS
SMARTCHK.CPS
AVGQT.DAT
AGUARD.DAT"
gefunden bei http://www.jakobsoftware.de/Avg/vir_klezh.htm
-------------
hier noch beschreibungen und tipps zum entfernen von klez.h:
pctip
sophos
golem
zdnet/kaspersky
gruss, redschina
eine eigenheit von klez ist ja, einige virenscanner zu deaktivieren (u.a. NAV) - vielleicht liegts daran?
-------------
"Das Virus versucht darüber hinaus Antivirenprogramme zu blockieren, indem es folgende Prozesse killt:
_AVP32 NAVLU32 NAVWNT SWEEP95
_AVPCC NAVRUNR ANTIVIR PCCWIN98
NOD32 NAVW32 AVPUPD IOMON98
NPSSVC _AVPM AVGCTRL AVPTC
NRESQ32 ALERTSVC AVWIN95 AVE32
NSCHED32 AMON SCAN32 AVCONSOL
NSCHEDNT AVP32 VSHWIN32 FP-WIN
NSPLUGIN AVPCC F-STOPW DVP95
NAV AVPM F-PROT95 F-AGNT95
NAVAPSVC N32SCANW ACKWIN32 CLAW95
NAVAPW32 VET95 VETTRAY NVC95
und folgende Datenbanken von Antivirenprorgammen entfernt:
ANTI-VIR.DAT
CHKLIST.DAT
CHKLIST.MS
CHKLIST.CPS
CHKLIST.TAV
IVB.NTZ
SMARTCHK.MS
SMARTCHK.CPS
AVGQT.DAT
AGUARD.DAT"
gefunden bei http://www.jakobsoftware.de/Avg/vir_klezh.htm
-------------
hier noch beschreibungen und tipps zum entfernen von klez.h:
pctip
sophos
golem
zdnet/kaspersky
gruss, redschina
Antwort 17 von swingo
Wenn er immer noch da ist geh mal nach
http://www.norman.com/virus_info/w32_klez_g_mm.shtml?menulang=de
Gruß
Ingo
http://www.norman.com/virus_info/w32_klez_g_mm.shtml?menulang=de
Gruß
Ingo
Antwort 18 von Limbo1
hi!
@Redschina: ja diese Beschreibung von Dir scheint wirklich zu stimmen: Klez schaltet die Antivirenprogramme aus und verliert sogar die eigenen Definitionen! Wenn ich z.B. Berichte von NAV 2002 durchschaue, tauchen die vorher gemeldeten Klez-Würmer in keinem Protokoll auf! :o((
@swingo: ok, werd mal das Anti Klez Tool von Norman testen, alle anderen Virenscanner scheine ich sonst schon getestet zu haben!
Was würde es bringen, die infizierten Inhalte des Netzwerkordners auf CD zu brennen, danach die Partition formatieren und die Dateien der Netzwerkordner wieder aufspielen? Also die Frage ist: Wo stecken die Würmer IN den Dateien (hauptsächlich mp3 und avis) oder EXTRA Dateien, die aber "scheinbar" nicht gelesen und gefunden werden können?????
Fragen über Fragen .....
THX!!!
@Redschina: ja diese Beschreibung von Dir scheint wirklich zu stimmen: Klez schaltet die Antivirenprogramme aus und verliert sogar die eigenen Definitionen! Wenn ich z.B. Berichte von NAV 2002 durchschaue, tauchen die vorher gemeldeten Klez-Würmer in keinem Protokoll auf! :o((
@swingo: ok, werd mal das Anti Klez Tool von Norman testen, alle anderen Virenscanner scheine ich sonst schon getestet zu haben!
Was würde es bringen, die infizierten Inhalte des Netzwerkordners auf CD zu brennen, danach die Partition formatieren und die Dateien der Netzwerkordner wieder aufspielen? Also die Frage ist: Wo stecken die Würmer IN den Dateien (hauptsächlich mp3 und avis) oder EXTRA Dateien, die aber "scheinbar" nicht gelesen und gefunden werden können?????
Fragen über Fragen .....
THX!!!
Antwort 19 von Redschina
hi limbo,
ich bemühe mich, bei meinen postings nicht allzuviel mist abzugeben ;-)
du schreibst "fragen über fragen" - wär mal ganz gut im detail zu erfahren, was du bis jetzt alles unternommen hast...
1) online-scans?
2) wär auch ned schlecht festzustellen, ob sich "dein" klez per e-mail verbreitet (ich weiss zwar nicht, wie man das überprüfen kann, da klez sich bei den absender-angaben erst mal auf dein adressbuch stürzt, könnte es mir aber über eine firewall vorstellen: evtl. e-mail-programm dort löschen, also weder erlauben noch verbieten, so dass sich die firewall bei ausgehenden e-mails meldet... sorry, ist nur mal so eine idee)
3) bzw. wie du ihn dir "eingefangen" hast (welches e-mail-programm, e-mail geöffnet, attachment ausgeführt)?
4) usw. usw. - fragen über fragen ;-)
gruss, redschina
ich bemühe mich, bei meinen postings nicht allzuviel mist abzugeben ;-)
du schreibst "fragen über fragen" - wär mal ganz gut im detail zu erfahren, was du bis jetzt alles unternommen hast...
1) online-scans?
2) wär auch ned schlecht festzustellen, ob sich "dein" klez per e-mail verbreitet (ich weiss zwar nicht, wie man das überprüfen kann, da klez sich bei den absender-angaben erst mal auf dein adressbuch stürzt, könnte es mir aber über eine firewall vorstellen: evtl. e-mail-programm dort löschen, also weder erlauben noch verbieten, so dass sich die firewall bei ausgehenden e-mails meldet... sorry, ist nur mal so eine idee)
3) bzw. wie du ihn dir "eingefangen" hast (welches e-mail-programm, e-mail geöffnet, attachment ausgeführt)?
4) usw. usw. - fragen über fragen ;-)
gruss, redschina