Hallo, was ernstes:
Mein Virenscanner meldet diesen Wurm auf meinem XP - SP2.
Nach Lesen des Eintrags in der Virusbibliothek von AVG (=grisoft, siehe Link)
könnte man annehmen dass nur Outlook Patienten betroffen sind. Ist das so?
Jedenfalls würde ich das Monster gern wieder loswerden. Reicht das, wenn ich die im Bibliothekeintrag genannten Dateien lösche?
Grüße von: Gerhard
Zitat von Google nach Eingabe wie im Betreff:
"AVG Anti Virus: Virus Encyclopedia - [ Diese Seite übersetzen ]
I-Worm/Naith Is a worm which is able to distribute itself through e-mails, shared network drives, IRC, ICQ and KaZaA programs. After it launches itself, ...
www.grisoft.com/virbase/virbase.php?lng=us&action=search&style=simple&qsearch=hledej&qvir... - 8k - Im Cache - Ähnliche Seiten"
TrendMicro hat auch eine Beschreibung auf der Webseite.
Du solltest das Ding schnellstens loswerden. Denn wie TrendMicro berichtet:
"This worm, which runs on Windows 95, 98, ME, NT, 2000, and XP, also retrieves cached passwords and sends them to a specific email address. It also terminates certain antivirus programs."
Nach der "wurmkur" solltest du sämtliche Passwörter ändern.
> Nach der "wurmkur" solltest du sämtliche Passwörter ändern.
...und überhaupt damit aufhören, Outlook oder Outlook Express zu benutzen. Ich empfehle Mozilla Thunderbird.
Das Beste was gesagt werden darf.
Vorsicht bei unbekannten Absendern von e-mails
JMB (M 6770)
Aber jetzt mal im Ernst: Wie kann man sich einen Virus bzw. Wurm einfangen, der mehr als 2 Jahre alt ist (bekannt seit Januar 2003) und für den es mindestens genauso lange einen Patch von M$ gibt (betrifft den IE, der wie immer die Wurzel allen Übels ist...)?
Der Wurm "Lirva" ist übrigens recht schlau und verbreitet sich nicht nur per E-Mail, sondern auch über ICQ, IRC, Online-Tauschbörsen (z.B. KaZaa) und selbst in lokalen Netzwerken. Er breitet sich daher schnell aus und hat auch die lästige Eigenschaft, vorhandene Schutzsysteme wie Antiviren-Software oder Firewalls zu deaktivieren.
Daneben versucht der Wurm, Kennwörter der Einwahldialoge unter Windows zu lesen und über das Internet an den Virenautor zu senden. Jeweils am 7., 11. und 24. des Monats versucht der Wurm, die Website http://www.avril-lavigne.com aufzurufen (daher kommt auch der Name des Wurmes).
Nachricht bearbeitet (22.09.2005 18:13)
JMB (6770) schrieb:
> Vorsicht bei unbekannten Absendern von e-mails
Da viele der Würmer sich mittels der Adressbücher des befallenen Rechners verschicken und auch die (gefälschte) Absenderkennungen selbigen entnehmen, kann es durch aus sein, dass Du z.B. eine Mail von [email]Dirk.Wagner@AUGE.de[/email] bekommst, die den Wurm in sich trägt - aber nie auf meinem Rechner war.
In meinem Fall beträgt die Wahrscheinlichkeit, das die Mail nicht von mir kommt sogar 100% - Meine Auge-Adresse ist nur Eingangsbriefkasten - verschickt wird damit nichts...
Ciao
dirk
Hallo Florian - wie ich schon schrub, benutze ich beide Programme nicht
Dank M$ sind sie aber vorhanden, also installiert. (Ich benutze auf dem PC nur Netscape 7.1) - bin ich damit trotz der Infektion sicher?
Grüße von: Gerhard
Florian D. schrieb:
> > Nach der "wurmkur" solltest du sämtliche Passwörter
> ändern.
>
> ...und überhaupt damit aufhören, Outlook oder Outlook Express
> zu benutzen. Ich empfehle Mozilla Thunderbird.
Hallo Michael
Michael schrieb:
> TrendMicro hat auch eine Beschreibung auf der Webseite.
>
>
>
> Du solltest das Ding schnellstens loswerden.
Was genau muss man tun um die Infektion loszuwerden? Neu installieren oder einzelne vom Wurm installierte Dateien löschen?
Oder gibt es ein spezielles Löschprogramm?
G v Gerhard
Denn wie
> TrendMicro berichtet:
> "This worm, which runs on Windows 95, 98, ME, NT, 2000, and
> XP, also retrieves cached passwords and sends them to a
> specific email address. It also terminates certain antivirus
> programs."
>
> Nach der "wurmkur" solltest du sämtliche Passwörter ändern.
Homebanking mache ich nur mit Eingabe, also nicht mit gespeichertem Passwort. Andere wichtige Passwörter sind nicht drauf.
>
Hallo Florian
> Aber jetzt mal im Ernst: Wie kann man sich einen Virus bzw.
> Wurm einfangen, der mehr als 2 Jahre alt ist (bekannt seit
> Januar 2003) und für den es mindestens genauso lange einen
> Patch von M$ gibt (betrifft den IE, der wie immer die Wurzel
> allen Übels ist...)?
Das klingt jetzt wie ein Vorwurf: Was man tun kann habe ich ganz sicher getan:
1. Alle (!) Patches von M$ installiert. (Das machen die eh per Abo)
2. Eine SoftFirewall installiert (AVG) welche täglich (!) die Antivirussoftware updated.
3. Eine Hardware Firewall installiert. (Netgear Router)
Trotzdem hat AVG den Virus gemeldet als ich den Virusscanner laufen ließ.
>
> Der Wurm "Lirva"
ist das ein anderer Name für meinen? Der heißt Naith dachtich
ist übrigens recht schlau und verbreitet
> sich nicht nur per E-Mail, sondern auch über ICQ, IRC,
> Online-Tauschbörsen (z.B. KaZaa)
ICQund Kazaa oder andere Börsen verwende ich nicht. Was ist IRC?
und selbst in lokalen
> Netzwerken. Er breitet sich daher schnell aus und hat auch die
> lästige Eigenschaft, vorhandene Schutzsysteme wie
> Antiviren-Software oder Firewalls zu deaktivieren.
AVG läuft offensichtlich wie üblich - kann es trotzdem deaktiviert sein?
>
> Daneben versucht der Wurm, Kennwörter der Einwahldialoge
> unter Windows zu lesen und über das Internet an den Virenautor
> zu senden.
Jeweils am 7., 11. und 24. des Monats versucht der
> Wurm, die Website http://www.avril-lavigne.com aufzurufen
> (daher kommt auch der Name des Wurmes).
... und was macht er da?
>
>
> Nachricht bearbeitet (22.09.2005 18:13)
> In meinem Fall beträgt die Wahrscheinlichkeit, das die Mail
> nicht von mir kommt sogar 100% - Meine Auge-Adresse ist nur
> Eingangsbriefkasten - verschickt wird damit nichts...
Schade eigentlich! Wäre doch schön, wenn AUGE-Mitglieder diese E-Mail-Adresse auch verwenden würden...
Hallo Freunde
Was der Wurm tut weiß ich also jetzt. Und dass ich ihn rauswerfen soll weiß ich auch...
Aber wie geht das??? Bei Grisoft (Link siehe unten) stehen die Dateien um die es geht. Kann ich die einfach löschen oder ist dann das XP sowieso kaputt - und der Virus hockt in der Ecke und infiziert das neue XP
sofort wieder?
Grüße von: Gerhard
> Hallo, was ernstes:
>
> Mein Virenscanner meldet diesen Wurm auf meinem XP - SP2.
> Nach Lesen des Eintrags in der Virusbibliothek von AVG
> (=grisoft, siehe Link)
> könnte man annehmen dass nur Outlook Patienten betroffen
> sind. Ist das so?
> Jedenfalls würde ich das Monster gern wieder loswerden.
> Reicht das, wenn ich die im Bibliothekeintrag genannten Dateien
> lösche?
>
> Grüße von: Gerhard
>
> Zitat von Google nach Eingabe wie im Betreff:
>
> "AVG Anti Virus: Virus Encyclopedia - [ Diese Seite
> übersetzen ]
> I-Worm/Naith Is a worm which is able to distribute itself
> through e-mails, shared network drives, IRC, ICQ and KaZaA
> programs. After it launches itself, ...
>
> www.grisoft.com/virbase/virbase.php?lng=us&action=search&style=simple&qsearch=hledej&qvir...
> - 8k - Im Cache - Ähnliche Seiten"
>
>
Gerhard schrieb:
> Das klingt jetzt wie ein Vorwurf: Was man tun kann habe ich
> ganz sicher getan:
> 1. Alle (!) Patches von M$ installiert. (Das machen die eh
> per Abo)
Der Patch für den IE blockiert nur ein Sicherheitsleck im IE, aber er verhindert nicht völlig die Ausbreitung des Wurmes. Der ist ein EXE-Programm (irgendwie getarnt) und wenn man das anklickt oder sonstwie ausführt... bingo.
> 2. Eine SoftFirewall installiert (AVG) welche täglich (!) die
> Antivirussoftware updated.
Die Software-Firewall hilft wenig gegen Würmer. Ein aktualisierter Virenscanner schon eher, wenn er denn auch die E-Mails etc. scannt. Zum Glück haben wir jetzt ja auch einen Virenscanner auf dem AUGE-Mail-Server, der alle Mails auf Viren und Würmer checkt. Da dieser gut funktioniert, ist man zumindest bei unserem Mail-Server recht gut geschützt. Wenn man allerdings auch noch andere Mail-Server nutzt (oder nur einen Alias), dann muss man selber für den Schutz sorgen. Leider hat der Wurm die Eigenschaft, fast alle gängigen Virenscanner abzuschalten und damit den Schutz zu unterlaufen.
> 3. Eine Hardware Firewall installiert. (Netgear Router)
Hilft zwar gegen viele Angriffe, aber nicht unbedingt gegen Würmer (siehe oben), selbst wenn sie richtig konfiguriert ist.
> Trotzdem hat AVG den Virus gemeldet als ich den Virusscanner
> laufen ließ.
Also hast Du doch irgend etwas falsch gemacht
> > Der Wurm "Lirva"
>
> ist das ein anderer Name für meinen? Der heißt Naith
> dachtich
Ja, das Ding hat mehrere Namen. "Lirva" ist einfach "Avril" rückwärts.
> ist übrigens recht schlau und verbreitet
> > sich nicht nur per E-Mail, sondern auch über ICQ, IRC,
> > Online-Tauschbörsen (z.B. KaZaa)
> ICQund Kazaa oder andere Börsen verwende ich nicht. Was ist
> IRC?
IRC = Internet Relay Chat
> und selbst in lokalen
> > Netzwerken.
War der Rechner mal in irgendeinem Netzwerk, in dem evtl. andere befallene Rechner liefen? Das könnte die Quelle sein (natürlich auch WLAN).
> AVG läuft offensichtlich wie üblich - kann es trotzdem
> deaktiviert sein?
So gut kenne ich AVG nicht, aber wenn der Wurm clever ist, dann schafft er das.
> Jeweils am 7., 11. und 24. des Monats versucht der
> > Wurm, die Website http://www.avril-lavigne.com aufzurufen
> > (daher kommt auch der Name des Wurmes).
>
> ... und was macht er da?
Woher soll ich das wissen? Wahrscheinlich schaut er sich die Bilder an :->
Gerhard schrieb:
> Was der Wurm tut weiß ich also jetzt. Und dass ich ihn
> rauswerfen soll weiß ich auch...
> Aber wie geht das??? Bei Grisoft (Link siehe unten) stehen
> die Dateien um die es geht. Kann ich die einfach löschen oder
> ist dann das XP sowieso kaputt - und der Virus hockt in der
> Ecke und infiziert das neue XP
> sofort wieder?
Grisoft kenn' ich nicht und ich würde bei solchen Dingen eher auf die bekannteren Firmen wie McAfee oder Symantec vertrauen. Die bieten i.d.R. Programme an, um derartige Schadprogramme zu entfernen, siehe
bei Symantec. Noch besser ist der McAfee AVERT Stinger (ist auch Freeware, habe leider gerade keinen Link da, aber mit Google kein Problem), der gleich einen ganzen Haufen der verschiedensten Würmer entfernt.
Hallo Florian - Danke
In der langen Liste welches Zeug das MacAfee Tool entfernt, ist Lirva/Naith/Avril nicht enthalten.
Im Symantec (dein Link) gibt es ein spezielles Tool gegen den naith avril und eine Gebrauchsanweisung dazu:
Sie beginnt mit einer (kommentierten) Liste mit sieben Befehlszeilenparametern. Drei davon werden mit "nicht empfohlen" kommentiert.
Weiter unten heißt es dann, man soll die FixLirva.exe Datei starten usw
Was ich noch nicht verstanden haeb ist, ob und wie ich die erwähnten befehlszeilenparameter eingeben soll: Vor dem start der Exe Datei oder wie?
Grüße von: Gerhard
...Symantec vertrauen.
> bei Symantec.
Befehlszeilenparameter werden in der Befehlszeile angegeben:
also z.B.
c:\>FIXLIVRA.EXE /HELP /NOFIXREG /SILENT /MAPPED /START
Notwendig ist KEINER der Paramerter...
u.U. ist
c:\>FIXLIVRA.EXE /START
sinnvoll.
Es sollte aber reichen, die PRogrammdatei unter im Windows-Explorer doppelzuklicken...
Ciao
dirk
Gerhard schrieb:
> In der langen Liste welches Zeug das MacAfee Tool entfernt, ist Lirva/Naith/Avril nicht enthalten.
Ach ja? Schau doch mal auf diesen Link:
In der dritten Spalte ziemlich in der Mitte steht "W32/Lirva". Das ist der Wurm, den Du entfernen willst (wer lesen kann, ist klar im Vorteil).
Nachricht bearbeitet (23.09.2005 17:13)
Hallo Freunde - Danke
zuerst habe ich mit Stinger den Wurm gekillt - Dann mit Symantec geprüft ob er noch da ist. Er war weg!
Dann habe ich natürlich S ystem R estore wieder eingeschaltet.
hierzu eine Frage: Verlangt war, S-R vor der Killeraktion abzuschalten, weil es sonst den Wurm restaurieren würde, da es ja routinemäßig beschädigte System-Dateien repariert. Warum tat es das nicht als der Wurm sich rein setzte und solche "Dateien beschädigte"?
2. Frage: Hätte "System Restore" den Wurm nicht auch löschen müssen - wenn ich einen Restore Zeitpunkt vor der Infektion gewählt hätte?
Grüße von: Gerhard
Nachtrag: Ist meine Softfirewall - falls sie der Wurm entmachtet hat - jetzt auch wieder OK? (Sie benimmt sich normal...)
Nachricht bearbeitet (24.09.2005 23:57)
Gerhard schrieb:
> Hallo Freunde - Danke
>
> zuerst habe ich mit Stinger den Wurm gekillt - Dann mit
> Symantec geprüft ob er noch da ist. Er war weg!
> Dann habe ich natürlich System Restore wieder eingeschaltet.
>
Sieg!!
>
> hierzu eine Frage: Verlangt war, S-R vor der Killeraktion
> abzuschalten, weil es sonst den Wurm restaurieren würde, da es
> ja routinemäßig beschädigte System-Dateien repariert. Warum tat
> es das nicht als der Wurm sich rein setzte und solche "Dateien
> beschädigte"?
>
Wenn man sich überlegt wie die Systemwiederherstellung arbeitet kann man sich das erklären. Es wird eine Kopie der Registry gespeichert. Neu installierte Programme tragen dann ihre Parameter in die Registry ein. Wenn dabei etwas schief geht kann man über die Systemwiederherstellung die alte Registry zurückholen.
Werden die Einträge, die der Wurm hinterlassen hat, entfernt, funktioniert er zunächst nicht mehr. Es könnte aber passieren das durch ein anderes Ereignis (fehlgeschlagene Installation) ein Restore der alten Registry ausgelöst wird. Dann hat man den Gesellen wieder drin.
Davon abgesehen entfernt man durch die Wiederherstellung eventuell auch einige Dinge, die man nicht entfernen wollte. Aber das wäre dann das kleinere Übel.
> 2. Frage: Hätte "System Restore" den Wurm nicht auch löschen
> müssen - wenn ich einen Restore Zeitpunkt vor der Infektion
> gewählt hätte?
>
Nicht ganz. Es würden nur die Einträge in der Registry zurückgesetzt. Wenn bei diesem Wiederherstellungspunkt der Virus noch nicht aktiv war, wäre er damit zunächst abgeschaltet. Aber die eigentlichen Schadprogramme sind noch nicht entfernt. Ein Klick auf die falsche .exe und das Ding installiert sich wieder.
Ausserdem nutzen die Viren meist noch andere Initialisierungsmechanismen. Sie speichern sich im System unter dem Namen einer bekannten Anwendung oder Systemfunktion ab. Die wird dann durch den ganz normalen Gebrauch des Betriebssystems gestartet. Die Einträge in der Registry sind dann auch schnell wieder drin. Es müssen also auch die Dateien gelöscht und gegebenenfalls durch die Originalprogramme ersetzt werden.
> Grüße von: Gerhard
>
> Nachtrag: Ist meine Softfirewall - falls sie der Wurm
> entmachtet hat - jetzt auch wieder OK? (Sie benimmt sich
> normal...)
>
Davon würde ich ausgehen. Bisher kenne ich nur Fälle in denen solche Programme durch den Wurm einfach ausgeschaltet wurden.
PS: Mir ist nicht bekannt ob die Systemwiederherstellung auch Dateien des Betriebssystems und Treiber sichert und wieder zurückkopiert. Ich habe mich da noch nicht so genau eingelesen. Wer weiss mehr?
Hallo Dirk
Deine Erklärung hat mir sehr geholfen. Die Anleitung war nämlich so nicht verständlich. Denn - warum soll man Systemparameter ändern, um eine .exe Datei zu starten?
Grüße von: Gerhard
Dirk Wagner schrieb:
> Befehlszeilenparameter werden in der Befehlszeile angegeben:
>
> also z.B.
>
> c:\>FIXLIVRA.EXE /HELP /NOFIXREG /SILENT /MAPPED /START
>
> Notwendig ist KEINER der Paramerter...
>
> u.U. ist
>
> c:\>FIXLIVRA.EXE /START
>
> sinnvoll.
>
> Es sollte aber reichen, die PRogrammdatei unter im
> Windows-Explorer doppelzuklicken...
>
> Ciao
>
> dirk