Frank Podlesak: NIMDA VIRUS

SELF-Forum

NIMDA VIRUS

Frank Podlesak Homepage des Autors
Informationen zu den Bewertungsregeln

Ich hab gestern ein unaufällige leere Mail mit Anhnang mit der Endung .doc.scr bekommen... Es könnte sich um einen Nimda Wurm handeln. Ich hab gehört dass sich danach sich C:\Admin.dll festsetzt, wenn das System infiziert ist. Ich habe diese Datei unter C:\programme\gemensamedateien\microsoft shared\Web Server extensions\40\isapi\_vti_adm\admin.dll gefunden... ist das nun normal oder könnte der Rechner infiziert sein?

Beitrag melden
Informationen zu den Bewertungsregeln

  1. NIMDA VIRUS

    AnotherLink
    Informationen zu den Bewertungsregeln

    http://www.f-prot-antivirus.de/

    Beitrag melden
    Informationen zu den Bewertungsregeln

  2. Badtrans

    Utz
    Informationen zu den Bewertungsregeln

    Hi,

    Ich hab gestern ein unaufällige leere Mail mit Anhnang mit der Endung .doc.scr bekommen... Es könnte sich um einen Nimda Wurm handeln.

    Nein, das war Badtrans.

    Ich hab gehört dass sich danach sich C:\Admin.dll festsetzt, wenn das System infiziert ist.

    Ja, Nimda legt c:\admin.dll an. Badtrans dagegen eine kernel32.exe im Windows-Systemverzeichnis, plus eine .dll

    Ich habe diese Datei unter C:\programme\gemensamedateien\microsoft shared\Web Server extensions\40\isapi\_vti_adm\admin.dll gefunden... ist das nun normal oder könnte der Rechner infiziert sein?

    Diese DLL gehört zu den Frontpage Extensions und ist - sofern Du Frontpage für "normal" und "nicht infektiös" hältst *fg* - völlig "normal".

    Grüße,

    Utz

    Beitrag melden
    Informationen zu den Bewertungsregeln

    1. Badtrans

      Frank Homepage des Autors
      Informationen zu den Bewertungsregeln

      Was ist Badtrans und wie bekomm ich es los??? Ist es aktiviert, wenn ich die mail nur gelesen hab???
      Danke trotzdem

      Beitrag melden
      Informationen zu den Bewertungsregeln

      1. Badtrans

        Utz
        Informationen zu den Bewertungsregeln

        Hi,

        wie schon geschrieben: hast Du eine kernel32.exe im Windows-Systemverzeichnis, ist Dein Rechner infiziert. Zum Loswerden: Mach einen Update Deinen Virendefinitions-Datei, dann kann Dein Virenscanner ihn entfernen. Hast Du bisher keinen Virenscanner, besorg Dir einen. Manuelles Entfernen ist zwar möglich, aber von OS zu OS unterschiedlich und immer ein bisschen kitzlig.

        Grüße,

        Utz

        Beitrag melden
        Informationen zu den Bewertungsregeln

        1. Badtrans

          Frank Homepage des Autors
          Informationen zu den Bewertungsregeln

          ich hab die beiden Dateien per DOS gelöscht.. scheint alles wech zu sein..danke

          Beitrag melden
          Informationen zu den Bewertungsregeln

      2. Badtrans

        Patrick Andrieu Homepage des Autors
        Informationen zu den Bewertungsregeln

        Hallo Frank!

        Was ist Badtrans

        http://www.antivir.de/vireninfo/badtrans.htm

        Ist es aktiviert, wenn ich die mail nur gelesen hab???

        Je nach dem. Wenn du IE 5.5 sp2 hast wahrscheinlich nicht, ansonsten ja, wenn Du die Mails im Vorschaufenster anzeigen lässt. Bitte im Forum weiter schauen, wir haben die letzten 2 Tagen genug Informationen über diesen Wurm geliefert:

        <?m=7469&t=1203#a1>

        Ja, und AntiVir kann ich nur empfehlen ;-) Nein, ich bin nicht Aktionär bei ihnen ;-)

        Patrick

        Beitrag melden
        Informationen zu den Bewertungsregeln