Zum Inhalt springen

Virus oder was??


Bernd67
 Teilen

Empfohlene Beiträge

Heute fand ich eine mail vor, mit dem Absender "Das Team von Microsoft Outlook" und irgend einer mir nicht bekannten Adresse (in ds. Fall t-online).

 

Daran war irgendwas angehängt (Eudora meldete "bad attachment", ich wählte eh "get rid of it", wirklich weg wars nicht (hieß "AP", 50k groß, ich editierte die Datei mit Notepad (kann nix passieren). Zu lesen war

 

.......This program cannot be run in DOS mode............

[Zeichenwirrwarr, also was binäres]

.......

KERNEL32.DLL ADVAPI32.dll MPR.dll MSVCRT.dll USER32.dll WSOCK32.dll LoadLibraryA GetProcAddress ExitProcess RegCloseKey WNetCloseEnum _iob SetTimer

 

sehr verdächtig nicht?

Der Virenscanner hat nicht geschrien, muß also was neues sein!

Link zu diesem Kommentar
Auf anderen Seiten teilen

Zeichenwirrwarr, also was binäres
Dann wäre dort aber nur 0 und 1 gestanden ;)

 

However: es ist derzeit gerade ein neuer Virus unterwegs, der scheinbar noch nicht von allen Scannern erkannt wird.

 

Und einige von Dir gepostete Einträge lassen tatsächlich auf einen Virus schließen.

 

Weitere Infos: http://www.nai.com/ (rechts oben, nicht zu übersehen ;) ).

 

Welchen Scanner verwendest eigentlich?

 

 

Link zu diesem Kommentar
Auf anderen Seiten teilen

Original geschrieben von Christoph

Und einige von Dir gepostete Einträge lassen tatsächlich auf einen Virus schließen.

 

Welchen Scanner verwendest eigentlich?

 

 

:confused:

kannst mir bitte genauer erklären, wie Du das meinst?

 

Scanner ist der McAfee, habe vielleicht 2 Wochen kein Update nachgezogen..... Dann hat ers in dem Anhang entdeckt. Nach komplettem Plattenscan habe ich nix gefunden.

Link zu diesem Kommentar
Auf anderen Seiten teilen

McAfee ist eh ganz ok.

 

Lad Dir halt das aktuellste Update runter und laß ihn wirklich alles scannen was er scannen kann.

Wenn er dann nix findet, kannst fürs Erste davon ausgehen, dass alles in Ordnung ist.

Eventuell in ein paar Tagen dann nocheinmal updaten und scannen lassen, für den Fall dass es echt ein ganz neuer Virus war.

Und wenn dann keine Probleme auftreten, dann hast wohl einfach Glück gehabt ;)

Link zu diesem Kommentar
Auf anderen Seiten teilen

@christoph...

 

du hast aber auch ein spannendes Metawissen über PC´s oder?

 

selbst wenns eine reine binäre zeichenfolge ist, zeigt Edit irgendwelche (die mit dieser zeichenfolge codierten) ASCII-Zeichen an.

 

Binär kannst nur mit einem HEX-Editor arbeiten und selbst dort hast dann 0,1,2,3,4,5,6,7,8,9,A,B,C,D,E,F stehen.... :rolleyes: :rolleyes: :rolleyes:

Link zu diesem Kommentar
Auf anderen Seiten teilen

Original geschrieben von Br@in

@christoph...

 

du hast aber auch ein spannendes Metawissen über PC´s oder?

 

selbst wenns eine reine binäre zeichenfolge ist, zeigt Edit irgendwelche (die mit dieser zeichenfolge codierten) ASCII-Zeichen an.

 

Binär kannst nur mit einem HEX-Editor arbeiten und selbst dort hast dann 0,1,2,3,4,5,6,7,8,9,A,B,C,D,E,F stehen.... :rolleyes: :rolleyes: :rolleyes:

 

genau nur diese Unterscheidung habe ich machen wollen (ob's entweder ein Textanhang oder halt was anderes ist)

 

@Christoph: na wehe, Du host mein PC attackiert ..... :D :devil:

Link zu diesem Kommentar
Auf anderen Seiten teilen

Original geschrieben von Br@in

@christoph...

 

du hast aber auch ein spannendes Metawissen über PC´s oder?

Mein Gott, mach ma jetzt Haarspalterei.

 

Also einigen wir uns drauf: im Editor werden nur ASCII-Zeichen dargestellt, es ist also nicht ersichtbar in welcher Sprache das Programm compiliert wurde :rolleyes:

 

War halt grad nicht ganz bei der Sache.

Aber über HEX & Programmieren brauchst MIR nix zu erzählen.

Weil das hab ich schon mit der Muttermilch vermittelt bekommen ;)

Link zu diesem Kommentar
Auf anderen Seiten teilen

Original geschrieben von Br@in

@christoph...

 

du hast aber auch ein spannendes Metawissen über PC´s oder?

 

selbst wenns eine reine binäre zeichenfolge ist, zeigt Edit irgendwelche (die mit dieser zeichenfolge codierten) ASCII-Zeichen an.

 

Binär kannst nur mit einem HEX-Editor arbeiten und selbst dort hast dann 0,1,2,3,4,5,6,7,8,9,A,B,C,D,E,F stehen.... :rolleyes: :rolleyes: :rolleyes:

 

Tja, das war auch Metawissen... Im HEX-Editor (wie der Name schon sagt), arbeitet man im hexadezimalen Zahlensystem, also einem Zahlensystem mit 16 als Basis. Dies, weil der binäre Wert 11111111 dem hexWert #FF entspricht, und somit mit zwei Ziffern bequem gearbeitet werden kann und Speicherbelegungen somit übersichtlicher dargestellt werden können.

 

Die Zeichenfolge "This program cannot be run in Dos mode" ist ein Anzeichen für eine für Windows kompilierte Datei, also ein executable, vermutlich mit einem C++-Compiler erstellt.

 

Link zu diesem Kommentar
Auf anderen Seiten teilen

Original geschrieben von Freeride2002

Tja, das war auch Metawissen... Im HEX-Editor (wie der Name schon sagt), arbeitet man im hexadezimalen Zahlensystem, also einem Zahlensystem mit 16 als Basis. Dies, weil der binäre Wert 11111111 dem hexWert #FF entspricht, und somit mit zwei Ziffern bequem gearbeitet werden kann und Speicherbelegungen somit übersichtlicher dargestellt werden können.

 

Genau das hab ich auch geschrieben...

 

:rolleyes: :cool:

 

und die Zahlenpaare sind auch nur eine Hirnkrücke weils eigentlich wurscht ist ubs FF FA FF steht oder FFFAFF weil auf der Festplatte steht (als Daten abgesehen von paritätsbits und fehlerkorrigierendem Code) sowieso nur 111111111111110011111111 :eek:

Link zu diesem Kommentar
Auf anderen Seiten teilen

Original geschrieben von Freeride2002

 

Im HEX-Editor (wie der Name schon sagt), arbeitet man im hexadezimalen Zahlensystem, also einem Zahlensystem mit 16 als Basis.

 

Das stimmt nicht einmal, man arbeitet primär binär! Nur als Denkhilfe für den Menschen (und zum Platzsparen) [b ist kürzer als 1101] wird es am Monitor als hexadezimal dargestellt.

 

Aber DAS war jetzt Haarspalterei :)

Link zu diesem Kommentar
Auf anderen Seiten teilen

@all

da hier eine geballte Mannschaft von Experten sitzt, hätte ich mal eine Frage: Wißt Ihr, was "Residential Gateway Device" bedeutet?

 

Habe das Zeichen auf dem Desktop (schaut aus wie eine Leitung mit einem Bildschirm drüber, oben drauf eine V-Antenne)

In der unteren Taskleiste meldet sich schon wieder diese Zeichen mit der Mitteilung, daß ein neues Gerät identifiziert ist.:confused:

Soll angeblich ein Microsoft Ding sein, bin mir aber nicht sicher.

Soll ich updaten, wie empfohlen oder ignorieren?

:confused: :confused: :confused:

cu

manfred

Link zu diesem Kommentar
Auf anderen Seiten teilen

Grüß euch ...

 

@Bernd

 

mir ist heute ein Bugbear übern weg gelaufen - mit deinem 50k Anhängesel liegst gar net so daneben.

 

Auf http://www.nai.com findest unter Virus Alerts und dann w32.Bugbear@MM (oder wie des Klump heißt) ein Tool namens Stinger das ist nur auf die Neuen Würmer&Co Spezialisiert. Und Gratis.

(Wie gut des allerdings ist weiß i net. weil bei uns der McAfee schon den Job erledigt hatte :D)

 

Es gibt ja einige McAfee Versionen, ich weiß net ob das bei allen geht, aber mach zusätzlich um UPDATE auch mal ein UPGRADE.

Dafür gibts die sog. SuperDAT-Files. Da wird net nur das Virenarchiv sondern auch die Scan-Engine Upgedatet (empfiehlt sich jeden Monat mal)

 

 

Greez,

Oli

Oli

Link zu diesem Kommentar
Auf anderen Seiten teilen

Original geschrieben von manfred

@all

da hier eine geballte Mannschaft von Experten sitzt, hätte ich mal eine Frage: Wißt Ihr, was "Residential Gateway Device" bedeutet?

 

Habe das Zeichen auf dem Desktop (schaut aus wie eine Leitung mit einem Bildschirm drüber, oben drauf eine V-Antenne)

In der unteren Taskleiste meldet sich schon wieder diese Zeichen mit der Mitteilung, daß ein neues Gerät identifiziert ist.:confused:

Soll angeblich ein Microsoft Ding sein, bin mir aber nicht sicher.

Soll ich updaten, wie empfohlen oder ignorieren?

:confused: :confused: :confused:

cu

manfred

 

Hmmm, ich hab mehr mit Hardware zu tun, Elektrotechnik-Nachrichtentechnik.

 

Residential Gateway Device heisst ja "Zuhausehabendes Richtungstür Gerät" :D, ich schätze amal das das eine spezielle Art von Netzwerkkarte oder wahrscheinlicher Routingprogramm ist.

 

Wennst nicht weisst wofürs ist, brauchst es sicher nicht, außerdem haben Viren und Trojaner ja immer die witzigsten Namen, damits sichs keiner löschen traut, ein Scan wäre also kein Fehler. tucows.chello.at (dort lassen sich etliche Scanner als Testversion runterladen) oder http://www.nai.com (die Macher von Norton Antivirus - dort gibts an Link auf den OnlineSecurityCheck

 

Link zu diesem Kommentar
Auf anderen Seiten teilen

Original geschrieben von Br@in

...oder http://www.nai.com (die Macher von Norton Antivirus - ...

ääähm, kleine korrektur. nai (network associates inc.) ist der

macher von mcafee, die macher von norton antivirus sind

symantec (http://www.symantec.com).

 

aber eh egal, beides sind gute viren-scanner...

 

CU,

HAL9000

 

 

Link zu diesem Kommentar
Auf anderen Seiten teilen

Original geschrieben von Christoph

Diese Residential Gateway Device ist bei mir manchmal erschienen wie ich auf einem PC noch Win Me, am anderen aber schon XP hatte...

... ist ein bekanntes problem: http://support.microsoft.com/default.aspx?scid=kb;en-us;Q298757

 

@ manfred

das residential gateway device kriegst du, wenn du ics (internet

connection sharing) installierst/verwendest.

 

@ wareagle

das superdat-file funktioniert mit allen mcafee-produkten ab

version 4.03, egal ob firmen- oder home-produkte.

 

CU,

HAL9000

 

 

Link zu diesem Kommentar
Auf anderen Seiten teilen

was du so beschreibst deutet alles auf einen virus hin

(bugbear is ja momentan ganz aktuell und wird oder wurde auch nicht gleich von den virenprogrammen erkannt)

 

alles was so mit kernel32.dll zu tun hat lässt im regelfall auf einen virus schließen. das du kein outlook verwendest is aber net unbedingt der schutz schlechthin; es verhindert nur, das sich der virus unkontrolliert weiterverbreitet. in deinem system einnisten, passwörter auslesen, backdoors öffnen, und weiß der teufel was noch alles tut er trotzdem.

 

der sichererste virenschutz ist noch immer e-mails bei denen dem betreff nicht eindeutig zu entnehmen is, worums geht (auch wenns vom besten speci stammt) ungelesen löschen, oder wenn absender bekannt, rückfragen.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Unbekannte Emails öffnet man am besten mit Telnet (funktioniert nur mit POP3, nicht mit IMAP). So kann man sich die Mail ohne jegliche Gefahr ansehen und kann auch Mails selektiv löschen. Ist zwar nicht so bequem wie eine grafische Oberfläche aber 100% sicher.

 

 

 

@azti: Nicht alles was mit KERNEL32.dll zu tun hat ist ein Virus. Jedes ausführbare Programm benötigt KERNEL32. WSOCK32.DLL z.B. weist darauf hin, dass das Programm über TCP/IP Routinen verfügt, usw.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

 Teilen

×
×
  • Neu erstellen...