Virus???

[niedriger noob]

Hallo
Heute erfuhr ich, dass viele Leute angeblich leere Mails von mir bekamen. Eine Mail kam mit dem Fehler zurück, dass sie mit dem Wurm "Klez" Infiziert sei. Dieser verbreitet sich über atatchments, ich erhielt meine letzte Mail mit Anhang vor ca. 2 Monaten.
Weiters ist mein gesamtes Netzwerk "durcheinander".
Es sind abnormal viele Netbios Packete unterwegs, kein PC hat Zugang zum Internet (Auch wenn ich direkt IP Adressen Pingen will, am DNS liegts nicht) obwohl der Router (RT314 von Netgear) eingewählt ist. Von aussen forwardet mein Router kein Packet mehr korrekt zum Server im LAN.
Mein Windows2000 Server (kein IIS laufend sondern mit Apache) sendete irgendwelche sinnlose Daten, k.A. welche und wohinn, in meiem Sniffer waren keine Packete zu sehen, obwohl mein Server aus voller Bandbreite sendete.
TheCleaner hat 0,0 gefunden, es laufen auch keine ungewöhnlichen Prozesse. Hätte ich Klez, müsste Cleaner den doch finden. Ich habe keine Ahnung, woher ich mir so ein Ding eingefangen haben könnte. In den Logdateien des Webdervers finden sich keine Auffälligen Dinge, ein paar Requests auf cmd.exe und sowas halt, aber einem Apache macht das nix aus.
Alle meine 5 PCs sind betroffen, ausser dieser Laptop hier. Betriebssys ist Win2000.
Kann ich noch was tun, ausser alle Festplatten Low-Level formatieren?

mfg
Noob

 

[toxix]

"Unter falschem Verdacht stehen derzeit viele bekannte e-mail-Adressen von Firmen, Vereine und auch Privatuser. Darunter auch namhafte Antiviren-Spezialisten und Redaktionen. Auf den ersten Blick scheint es, als wenn diese Opfer des KLEZ-Virus geworden sind und nun diesen weiterversenden. Doch dem ist es ganz und gar nicht. KLEZ versendet sich nicht nur über das Adressbuch weiter, sondern verwendet die Adressen aus dem selbigen auch als Absender. So meldet Sophos wie auch Spiegel.de das zahlreiche User viele KLEZ-verseuchte Mails mit dem Absender der Firma bzw. Redaktion erhalten haben. Es ist so nicht ohne weiteres möglich zu erkennen, das hier der Mailabsender gefälscht wurde und aus dem Adressbuch eines infizierten Opfers, welches eben diese Adresse gespeichert hatte, stammen. Der wahre Absender der Mail läßt sich nur über die IP-Adresse aus dem Header der Mail feststellen. Wer diese zurückverfolgt, stellt schnell fest, das z.B. die Mail aus den USA oder Norwegen, wo das Opfer sitzt, und nicht Deutschland stammt." : www.virus-aktuell.de

Falls du infiziert sein solltest findest du unter http://www.zdnet.de/itsupport/virencenter/news/2002/04/20020423zd_01-wc.html ein Removaltool für alle Varianten.

 

[niedriger noob]

thx, das Prog funktionierte super, nur kommt ein Virus selten alleine, mein soeben aktualisierter Virenscanner hat Nimda.E@mm gefunden, es waren auch überall *.eml Dateien und riched20.dll, habe ihn (denk ich) mit einem Tool von www.bitdefender.com entfernt.
Seit dem Virenbefall läuft andauernd das Diskettenlaufwerk eines PCs, obwohl keine Diskette drinnen ist und auch kein Fenster oder keine Anwendung offen ist, die darauf zugreifen würde.

mfg
Noob

 

[Tec]

@niedriger noob
Ich würde Dir empfehlen alle Rechner komplett zu formatieren und auf nen anderen Email-Client umzusteigen. Wer weis was noch alles unentdeckt lauert!

 

[niedriger noob]

Formatieren wird wohl sein müssen, läuft der Rechner ca. 2 Stunden so kann er dann nichtmal mehr den MediaPlayer öffnen weil nicht mehr genügend Speicher frei ist.
2 von 3 PCs stelle ich auch auf Linux um.
Ich hoffe ich komme gut damit zurecht, da ich niemanden kenne der sich mit Linux beschäftigt, hoffe ich es stört nicht zu sehr wenn ich des öfteren im Linux-Forum poste, z.B. wenn sich PHP wiedermal nicht kompilieren lässt und kryptisches ausspuckt.

mfg
Noob

 

[Tec]

Oje, als Linux-Anfänger willst Du gleich nen Server aufsetzen? Wärs nicht besser Dein Wissen in Windows-Server zu intensivieren statt auf ein völliges Neuland zu setzen?

Wer sagt Dir das die Fehler, welche Du unter Windows hattest, nicht auch unter Linux bekommst?

Versuch doch mal erst herauszufinden woran es liegt das Dein Windows Probleme macht! Das von Dir geschilderte Problem lässt mich darauf schliesen, das ein eingesetztes Programm schlampig programmiert worden ist und den Speicher laufend vollmüllt (gibts sehr oft sowas) oder mal wieder ein Treiber nicht das tut was er tun soll.

Also alle meine bisher eingesetzten Windows-Systeme (angefangen bei '95 bis XP) hatten NIE solche Probleme, da ich immer darauf achtete welche Programme ich installierte.

 

[niedriger noob]

Der Linux Server wird mir von jemandem aufgesetzt (soeben kennen gelernt), auf einem PC habe ich schon sei 1,5 Monaten Linux installiert, ich würde nur noch den 2. Client umstellen, PHP liess sich bei meinem "Aufsetzer" auch net kompilieren, aber ansonsten geht schon alles (Apache, MySQL, usw nur PHP will nicht).

Das Problem mit dem Speicher kommt erst, seit der Virus im System ist. Vorher lief alles perfekt ohne irgendwelche Memoryleaks oder sonst was.

Wenn der Server funktioniert hab ich darauf eh nix zu tun, da werde ich geholfen, mit den Clients komme ich schon ganz gut zurecht (USB Scanner installieren, Samba läuft schon, Sound und Graphikkartentreiber, usw).
Ich werde auf jeden Fall einen Windows PC lassen, auf dem werde ich mal nach und nach jedes Prog durchschauen, ob es Speicher vollmüllt.

mfg
Noob