Frank Podlesak: NIMDA VIRUS

Ich hab gestern ein unaufällige leere Mail mit Anhnang mit der Endung .doc.scr bekommen... Es könnte sich um einen Nimda Wurm handeln. Ich hab gehört dass sich danach sich C:\Admin.dll festsetzt, wenn das System infiziert ist. Ich habe diese Datei unter C:\programme\gemensamedateien\microsoft shared\Web Server extensions\40\isapi\_vti_adm\admin.dll gefunden... ist das nun normal oder könnte der Rechner infiziert sein?

  1. Hi,

    Ich hab gestern ein unaufällige leere Mail mit Anhnang mit der Endung .doc.scr bekommen... Es könnte sich um einen Nimda Wurm handeln.

    Nein, das war Badtrans.

    Ich hab gehört dass sich danach sich C:\Admin.dll festsetzt, wenn das System infiziert ist.

    Ja, Nimda legt c:\admin.dll an. Badtrans dagegen eine kernel32.exe im Windows-Systemverzeichnis, plus eine .dll

    Ich habe diese Datei unter C:\programme\gemensamedateien\microsoft shared\Web Server extensions\40\isapi\_vti_adm\admin.dll gefunden... ist das nun normal oder könnte der Rechner infiziert sein?

    Diese DLL gehört zu den Frontpage Extensions und ist - sofern Du Frontpage für "normal" und "nicht infektiös" hältst *fg* - völlig "normal".

    Grüße,

    Utz

    1. Was ist Badtrans und wie bekomm ich es los??? Ist es aktiviert, wenn ich die mail nur gelesen hab???
      Danke trotzdem

      1. Hi,

        wie schon geschrieben: hast Du eine kernel32.exe im Windows-Systemverzeichnis, ist Dein Rechner infiziert. Zum Loswerden: Mach einen Update Deinen Virendefinitions-Datei, dann kann Dein Virenscanner ihn entfernen. Hast Du bisher keinen Virenscanner, besorg Dir einen. Manuelles Entfernen ist zwar möglich, aber von OS zu OS unterschiedlich und immer ein bisschen kitzlig.

        Grüße,

        Utz

        1. ich hab die beiden Dateien per DOS gelöscht.. scheint alles wech zu sein..danke

      2. Hallo Frank!

        Was ist Badtrans

        http://www.antivir.de/vireninfo/badtrans.htm

        Ist es aktiviert, wenn ich die mail nur gelesen hab???

        Je nach dem. Wenn du IE 5.5 sp2 hast wahrscheinlich nicht, ansonsten ja, wenn Du die Mails im Vorschaufenster anzeigen lässt. Bitte im Forum weiter schauen, wir haben die letzten 2 Tagen genug Informationen über diesen Wurm geliefert:

        <?m=7469&t=1203#a1>

        Ja, und AntiVir kann ich nur empfehlen ;-) Nein, ich bin nicht Aktionär bei ihnen ;-)

        Patrick