Windows ist erst seit 2 Tagen drauf und schon habe ich einen Virus !
Er heißt W32.HLLW.Bymer und hat sich in C:\Windows\System eingenistet.... .....und zwar in der wininit.exe !
Was ist das für eine .exe ? Was machst sie, und kann ich sie einfach löschen ? oder läuft das System danach nicht mehr oder so ?
PS: Hatte jetzt noch einen anderen Virus drauf aber den habe ich einfach gelöscht, bis jetzt ohne Auswirkungen.
Wie soll ich mal wieder vorgehen ? Löschen ?
Weil ich habe erst vorgestern Windows neu raufgemacht, und möchte nicht wieder von vorne beginnen...
<font color="Red">Ähm, bei jedem Neustart will er jetzt die Wininit.exe öffnen, aber er sagt das es nur ausserhalb von Windows ginge. Ich weiß das dieses Winit etwas mit der Win.ini zu tun hat, da unter MSCONFIG / Win.ini/die Wininit.exe steht ! Also wäre löschen nicht so angebracht. Kann ich einfach Load=win.ini aus dem Autostart nehmen, hat er ja reingemacht, der Virus !?Deshalb will er immer diese Winint.exe starten...</font>
[ 09. September 2001: Beitrag editiert von: schlauer Besucher ]
W32.HLLW.Bymer is a high-level language worm (HLLW). The Symantec AntiVirus Research Center (SARC) is currently aware of two different variants of this worm.
The first variation arrives as a file named Wininit.exe. The second variation is named Msinit.exe. Both variations have the same functionality, but their payloads vary slightly. Wininit.exe carries the Dnetc client with it, whereas Msinit.exe only copies it.
Because one variation carries the Dnetc client and the other does not, the size can be either approximately 22 KB or 220 KB. Because all received samples have been packed using different versions of UPX (a runtime compressor for Windows executable files), the file size may vary slightly.
Since the functionality of both versions is almost the same, the following information applies to both variations:
When first executed, the worm modifies one of the following registry keys:
This ensures execution upon restart. It then immediately attempts to spread by checking IP addresses for shared drives. It tries one IP address, sleeps for two seconds, and then tries the next address.
It uses some randomization when searching for IP addresses. If a shared drive is found, the worm checks to see whether the Windows folder is available. If so, it inserts itself into the \Windows\System folder and modifies the Load= line in the Win.ini file. This ensures that the worm will execute when the computer restarts. It also inserts or copies the Dnetc client, depending on the version.
The Dnetc client is not viral. Additional information can be found at distributed.net.
#######
Lies selbst meinen oben genannten 2. Link....
Wegen Rechtschreibung..
[ 09. September 2001: Beitrag editiert von: Melodic ]
deine Abneigung gegen Norton kann ich auch nicht ganz teilen. Klar Mc Affee ist besser aber in allen TEst auch nur marginal. Das beste wäre eh sich zwei oder drei AV's zu insten.
Übrigens hat NAV bisher alle Viren in meinen Emails erkannt und auch sonst noch keinen durchgelassen, man sollte nur alle 14 Tage das Update von Symantec installieren. Zu radikal erscheint mir die Methode von MS bei Office 2000 SP2, wo ich bestimmte Dateien gar nicht mehr öffnen kann.
Trojaner versklavt PCs
Der Trojaner-Wurm Bymer versklavt befallene Computer und benutzt ihre Rechenzeit dazu, Datenpakete des Distributed Computing-Projekts DCTI zu berechnen. DCTI organisiert Computerbesitzer, die ihre Rechenzeit ehrenamtlich zur Verfügung stellen, um Rechenaufgaben zu lösen. Die Profite werden zu einem Großteil an gemeinnützige Organisationen gespendet. DCTI hat bereits vor dem Bymer-Wurm gewarnt und alle Rechen-Zeiten des DCTI-Mitglieds gelöscht, auf dessen Konto die Datenberechnungen verbucht werden.
Troj_Bymer verbreitet sich, indem er versucht bei zufällig angewählten IP-Adressen auf das C:\ Laufwerk zuzugreifen. Gelingt ihm dies, so schreibt er unter
\WINDOWS\Start Menu\Programs\StartUp und \WINDOWS\SYSTEM
die Dateien MSxxx.EXE, MSCLIENT.EXE, INFO.DLL, DNETC.EXE und DNETC.INI.
Die Datei MSxxx.EXE kann unterschiedliche Bezeichnungen haben, da anstelle des "xxx" eine Zeichenkombination eingefügt wird, die sich aus den ersten Stellen der IP-Adresse und zufälligen Zeichen zusammensetzt. DNETC.EXE und DNETC.INI sind die offiziellen Programme von DCTI, die normalerweise an die Benutzer gegeben werden und die eigentlichen Berechungen ausführen.
Die WIN.INI des befallenen Rechners wird um den Eintrag
load=c:\windows\system\msxxx.exe
erweitert, nach dem ersten Start des Wurms wird die Registry unter
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
um den Eintrag
MSINIT=c:\windows\system\msxxx.exe
ergänzt.
Der Wurm lädt dann Datenpakete von DCTI herunterladen, berechnet diese und verschickt die Ergebnisse an DCTI. Er hat keine weitere schädigende Wirkung auf den befallenen Rechner und kann relativ einfach entfernt werden, indem die entsprechenden Einträge auf WIN.INI und Registry entfernt und die Wurm-Dateien gelöscht werden.
Navigation
Schon wieder ein Virus auf meinem PC !
Linear-Darstellung
