Virus!!!!

[Nicmon]

Hallo,

bei mir erscheint seit gestern jedesmal ein Fenster mit dem Schriftsatz Nachrichtendienst: WIN32/RBot.AWWorm wurde in C:\System Volume Information\...\A 0001885.Exe entdeckt. Ich habe jetzt schon 3 verschiedene Virenscanner durchlaufen lassen es hat bei keinem zum Erfolg geführt, den Virus zu entfernen. Was kann ich noch tun?

 

[Johnson]

Manuell löschen ? Hört sich blöd an, klappt aber manchmal.
Oder nen tool, dass dteien ohne abfrage löscht, hatte da mal eins, dass löschte daten sofort nach systemstart, schon bevor sie ausgeführt wurden. ich such mal danach.

Erstmal haben wir hier nen Prog namens eraser, weiß aber net ob des klappt.

Pfff... find mein altes Prog net mehr, aber das hier schein auch gut zu sein. Klick mich

 

[Nicmon]

Ja der Nachrichtendienst erscheint in einem Fenster, aber es muß ein Virus sein, da dann erscheint unten drunter infiziert, oder ist das nix schlimmes?

 

[SANitY]

Geh in den Abgesicherten Modus,
aktiviere die Anzeige versteckter Systemdateien ,
geh in System Volume Informationen und lösch das Teil.
So hab ich auch mein Win32\Pirate.B losgekriegt.
ICh hab allerdings WinXP Professional, weiss nicht ob es da einen unterschied zwischen den OS gibt,..... ;(

 

[SANitY]

Nachrichtendienst

@ Andrea:

wenn es ein virus ist oder wäre dann hätte es auch dein scanner gefunden und gelöscht

Wenn der Scanner es entdekct hätte/hat kann er es nicht löschen, da er keinen Zugriff auf die System Volume Information hat.
Deshalb mein Tipp mit dem abgesicherten Modus.

 

[netvampir]

Schon mal was von Hoax gehört?

http://www.tu-berlin.de/www/software/winmsg.shtml

wenn da noch ne Url oder ne Telefonummer stand dann is das eine verar... damit man auf die angegebene Homepage geht oder die billige Nummer anruft.

Ignorieren und Nachrichtendienst abschalten

 

[SUID:root]

Ja, ich kann meinem Vorredner nur zustimmen, denn der Nachrichtendienst warnt nicht vor Viren. Wenn, dann würde dies dein lokal installierter Virenscanner tun, jedoch nicht über den Nachrichtendienst.

Der Nachrichtendienst wird von gewissen, sehr fragwürdigen Geschäftemachern und Spammern missbraucht um arlose User dazu zu bewegen, Software zu erwerben oder einfach nur ein wenig zu verunsichern.

Am Besten einfach den Dienst abschalten und sich nicht darum kümmern.
Wenn du einen (guten) Virenscanner hast, und dieser nichts findet, untermauert es deine Vermutung: Dein System ist clean.


Gruß

root

 

[Nicmon]

Bloß es ist zwar so, daß ich keine Viren gefunden habe, aber mein Problem ist noch gelöst, da mein Internet immer noch lahmt ohne Ende.

 

[Nicmon]

Ich habe einen T-DSL 2000 Anschluß bei Teledoof. Lahmen heißt, das es an manchen Tagen bis zu einer halben Stunde dauern kann bis ich überhaupt mal ins Netz komme, sprich ich mache den Browser auf egal ob Firefox oder IE und es erscheint konnte nicht gefunden werden, das probiere ich dann in einem 1 minutentakt jedesmal wieder und nix passiert. So nach ner halben Stunde kann es dann vorkommen das ich ins Netz komme aber der Seitenaufbau ist nicht der schnellste im Gegensatz zu vorher.

 

[Nicmon]

Hab ich alles schon gemacht, das Modem leuchtet normal also sprich alle Leds leuchten grün, es ist auch alles korrekt konfiguriert. bin mit meinem latein echt am ende.

 

[Nicmon]

Bei Ipconfig\all sagt er mir das System konnte den angegebenen Pfad nicht finden.

Hier die Settings:

SpeedGuide.net TCP/IP Analyzer

TCP properties for IP = 217.93.159.180 ()
Browser/OS = Mozilla/5.0 (Windows; U; Windows NT 5.1; de-DE; rv:1.6) Gecko/20040206 Firefox/0.8
Notes: Read the Analyzer FAQ if the above is not your IP address.
TCP options string = 020405ac01010402
MTU = 1492
MTU is optimized for PPoE DSL broadband. If not, consider raising MTU to 1500 for optimal throughput.
MSS = 1452
MSS is optimized for PPPoE DSL broadband. If not, consider raising MTU to 1500 for maximum throughput.
Default Receive Window (RWIN) = 17424
RWIN Scaling (RFC1323) = 0 bits
Unscaled Receive Window = 17424

RWIN is a multiple of MSS
Other values for RWIN that might work well with your current MTU/MSS:
511104 (MSS x 44 * scale factor of 8)
255552 (MSS x 44 * scale factor of 4)
127776 (MSS x 44 * scale factor of 2)
63888 (MSS x 44)
bandwidth * delay product (Note this is not a speed test):

Your RcvWindow limits you to: 696.96 kbps (87.12 KBytes/s) @ 200ms
Your RcvWindow limits you to: 278.784 kbps (34.848 KBytes/s) @ 500ms
Consider increasing your RWIN value to optimize TCP/IP for broadband.
MTU Discovery (RFC1191) = ON
Time to live left = 118 hops

TTL value is ok.
Timestamps (RFC1323) = OFF
Selective Acknowledgements (RFC2018) = ON
IP type of service field (RFC1349) = 00000000

 

[Nicmon]

ich habe dir t-online software gar nicht drauf und wo finde ich die firewall

 

[EnergeticZ]

Original von Nicmon
Bei Ipconfig\all sagt er mir das System konnte den angegebenen Pfad nicht finden.

das liegt daran, dass du ein einen backslash gemacht hast es heißt "Ipconfig/all" anstatt "Ipconfig\all

und ich würde probieren die xp firewall deaktivieren vorausgesetzt du hast Windows XP

@andrea21398
wenn sie nicht weiß wo sie die firewall findet dann wird sie sich keine installiert haben

mfg

 

[Nicmon]

So ich habe das mit dem ipfconfig herausbekommen. Siehe unten, ich habe unten in der Taskleiste kein kleines Icon.


Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Dokumente und Einstellungen\Chipy>ipconfig/all

Windows-IP-Konfiguration

Hostname. . . . . . . . . . . . . : Nici
Primäres DNS-Suffix . . . . . . . :
Knotentyp . . . . . . . . . . . . : Unbekannt
IP-Routing aktiviert. . . . . . . : Nein
WINS-Proxy aktiviert. . . . . . . : Nein

Ethernetadapter Drahtlose Netzwerkverbindung:

Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Siemens Gigaset PC Card 11
Physikalische Adresse . . . . . . : 00-01-E3-05-46-B4
DHCP aktiviert. . . . . . . . . . : Ja
Autokonfiguration aktiviert . . . : Ja
IP-Adresse. . . . . . . . . . . . : 192.168.2.232
Subnetzmaske. . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 192.168.2.1
DHCP-Server . . . . . . . . . . . : 192.168.2.1
DNS-Server. . . . . . . . . . . . : 192.168.2.1
Lease erhalten. . . . . . . . . . : Sonntag, 5. September 2004 12:35:28
Lease läuft ab. . . . . . . . . . : Dienstag, 19. Januar 2038 05:14:07

Ethernetadapter LAN-Verbindung:

Medienstatus. . . . . . . . . . . : Es besteht keine Verbindung
Beschreibung. . . . . . . . . . . : SiS 900 PCI Fast Ethernet Adapter
Physikalische Adresse . . . . . . : 00-40-D0-50-56-EC

C:\Dokumente und Einstellungen\Chipy>

 

[EnergeticZ]

@andrea
bei der Firewall von WinXP ist kein Icon rechts unten, das ist nur bei zusätzlich installierten Firewalls und wenn sie nicht weiß wo sie die firewall findet bzw. was das ist, gehe ich davon aus, dass sie keine extra Firewall auf ihr System installiert hat.

mfg

 

[Nicmon]

Hallo, ich habe mein Internet nicht eingerichtet, da ich keinen Plan von der ganzen Sache habe, also weiß ich auch net ob mir einer ne Firewall eingerichtet hat.

 

[EnergeticZ]

@Nicmon
hast du Wireless-LAN? Ich kenn mich damit nicht sonderlich aus aber ich würde vorschlagen nachzusehen ob der abstand zwischen pc und modem zu weit ist oder ob viele Wände dazwischen sind

@andrea
wenn ich bei mir die XP interne Firewall aktiviere kommt selbst nach einem neustart kein icon dazu. Außerdem ist ein gelbes Dreieck mit einem Ausrufezeichen eher eine Warnung bzw. ein Hinweis, dass etwas nicht einwandfrei funktioniert

mfg

 

[Nicmon]

Ja hab ich aber mein Empfang zeigt immer hervorragend an.

 

[Nicmon]

Andrea du hast mich falsch verstanden, ja hab ich war auf W-Lan bezogen. Ich weiß nicht wo ich sehen kann, ob die Windwos Firewall aktiviert ist oder sonstiges.

 

[Nicmon]

Drahtlose Netzwerkverbindung