Ich find den Wurm nicht :/
- Ersteller hasufel
- Erstellt am
Hi ho
Ich habe einen Wurm auf meinem Rechner (winXP SP1).
Diesen habe ich mir vermutlich via IRC eingefangen.
Ich fand einen Prozess Namens "jkwfudtc.exe". Auserdem einen gleichnamigen Autostarteintrag.
Also hab ich den Prozess beendet und den Autostarteintrag entfernt.
Leider kann ich die verantwortliche exe nicht finden. Via Suchfunktion ist die nicht aufzutreiben.
AVPersonal, Spybot und Adaware finden ebenfalls nichts (alles auf dem neusten Stand, es sei denn der Wurm blockiert ein Update).
Darum hab ich mich malwieder bei www.trojanerinfo.de umgesehen. Nach deren Anleitung zum aufspüren habe ich den Wurm-Eintrag auch in der Registry entdecken können:
Unter
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\"
befindet sich ein Eintrag "NET API32 ... jkwfudtc.exe"
Wie gesagt, kann ich nichtsdesotrotz keine Virusdatei finden. Ich kann den scheiß ausm Autostart entfernen, den Wurm selber aber nicht entfernen, weil ich ihn nicht finde.
Wäre nett, wenn mir jemand dabei helfen könnte.
mfg hasufel
Ich habe einen Wurm auf meinem Rechner (winXP SP1).
Diesen habe ich mir vermutlich via IRC eingefangen.
Ich fand einen Prozess Namens "jkwfudtc.exe". Auserdem einen gleichnamigen Autostarteintrag.
Also hab ich den Prozess beendet und den Autostarteintrag entfernt.
Leider kann ich die verantwortliche exe nicht finden. Via Suchfunktion ist die nicht aufzutreiben.
AVPersonal, Spybot und Adaware finden ebenfalls nichts (alles auf dem neusten Stand, es sei denn der Wurm blockiert ein Update).
Darum hab ich mich malwieder bei www.trojanerinfo.de umgesehen. Nach deren Anleitung zum aufspüren habe ich den Wurm-Eintrag auch in der Registry entdecken können:
Unter
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\"
befindet sich ein Eintrag "NET API32 ... jkwfudtc.exe"
Wie gesagt, kann ich nichtsdesotrotz keine Virusdatei finden. Ich kann den scheiß ausm Autostart entfernen, den Wurm selber aber nicht entfernen, weil ich ihn nicht finde.
Wäre nett, wenn mir jemand dabei helfen könnte.
mfg hasufel
Ich hab hier zwar nicht ganz den berauschenden Tip aber es kann sein das du unter extras ordneroptionen ansicht "alle Dateien und ordner zeigen" anklicken musst da diese Datei vll Versteckt ist. Dann musst du halt nochmal suchen aber wie gesagt nicht der berauschende Tip....(doch manchmal sind es die kleinen Dinge die uns im Leben weiterhelfen...)
Das MUSS eine zufällige Bezeichnung der EXE sein, da Google zu "jkwfudtc.exe" überhaupt rein gar nichts findet. Klingt so ähnlich wie bei den Welchia- bzw. Netski-Würmern.
d.h. such auch nach anderen EXEs mit ähnlich zufälligen Bezeichnungen, z.B. in \windows\ oder \windows\system32\. Natürlich nicht gleich löschen, kann ja auch ne Windows-Komponente sein. Aber dann würde Google bestimmt dazu was sagen können
Außerdem würde ich mal die Dienste checken, ob da einer eingetragen ist, der da nicht hingehört.
Den Schlüssel "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\" hab ich übrigens gar nicht (hab auch XP SP1).
d.h. such auch nach anderen EXEs mit ähnlich zufälligen Bezeichnungen, z.B. in \windows\ oder \windows\system32\. Natürlich nicht gleich löschen, kann ja auch ne Windows-Komponente sein. Aber dann würde Google bestimmt dazu was sagen können
Außerdem würde ich mal die Dienste checken, ob da einer eingetragen ist, der da nicht hingehört.
Den Schlüssel "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\" hab ich übrigens gar nicht (hab auch XP SP1).
Danke für eure Hilfe!
Habs mitlerweile hinbekommen. Hab den Wurm ausm Autostart entfernt, dann AV-Update gemacht und konnte ihn dann entfernen.
Was ich nur sehr seltsam fand, war das ich den Wurm nicht mit der Suche gefunden habe, obwohl er auf meiner Windows-Partition war (System32).
Na ja, jetzt bin ich ihn los - und in Zukunft doch etwas vorsichtiger mit Links im IRC.
Frag mich wie der Wurm sich überhaupt ausführen konnte. Muss ne Sicherheitslücke in meinem mIRC sein. Hatte die exe garnicht aktiv runtergladen
mfg hasufel
Habs mitlerweile hinbekommen. Hab den Wurm ausm Autostart entfernt, dann AV-Update gemacht und konnte ihn dann entfernen.
Was ich nur sehr seltsam fand, war das ich den Wurm nicht mit der Suche gefunden habe, obwohl er auf meiner Windows-Partition war (System32).
Na ja, jetzt bin ich ihn los - und in Zukunft doch etwas vorsichtiger mit Links im IRC.
Frag mich wie der Wurm sich überhaupt ausführen konnte. Muss ne Sicherheitslücke in meinem mIRC sein. Hatte die exe garnicht aktiv runtergladen
mfg hasufel