wurm "sober" und seine eigenarten
am wochenende hab ich den wurm "win32.sober.y" und andere varianten von einem windows-computer entfernt.
war doch anfänglich glatt ein harter brocken!
versuch 1:
- prozess beenden und datei löschen
-> kein erfolg. der windows-taskmanager killt keine prozesse, die "services.exe" oder "smss.exe" heißen - sind kritische systemprozesse (auch wenn sie im user-kontext gestartet wurden und somit zweimal vorhanden sind ...). ergo war auch das löschen der exe-datei nicht möglich.
versuch 2:
- autostart eintrag aus registry raus und reboot.
-> hat nicht funktioniert, weil ich draufgekommen bin, dass sich der wurm *sofort* (muss im millisekundenbereich sein) nach rauslöschen wieder reinschreibt.
versuch 3:
- autostart eintrag raus und sofort strom weg (war eher ein jux-versuch)
-> hat leider nicht geklappt, beim nächsten start war er wieder aktiv. entweder war der strom zu schnell weg ... oder zu langsam *lol*.
wurm, verar---- mich nicht! sonst hol ich meine amsel ausm käfig.
versuch 4:
- windows im abgesicherten modus starten.
-> erfolg. autostart wurde nicht ausgeführt und sober somit nicht gestartet. herrlich. DELETE :-)).
das ganze hat uns 2h gekostet. ich muss anmerken, dass ich nicht ins internet konnte, um nachzusehen, weil sofort massenhaft mails rausgingen.
btw ... norton liveupdate "LUALL.EXE" war auch befallen und ließ uns nicht mehr updaten.
jetzt probieren wirs mal mit AntiVir -- mal schaun.
war doch anfänglich glatt ein harter brocken!
versuch 1:
- prozess beenden und datei löschen
-> kein erfolg. der windows-taskmanager killt keine prozesse, die "services.exe" oder "smss.exe" heißen - sind kritische systemprozesse (auch wenn sie im user-kontext gestartet wurden und somit zweimal vorhanden sind ...). ergo war auch das löschen der exe-datei nicht möglich.
versuch 2:
- autostart eintrag aus registry raus und reboot.
-> hat nicht funktioniert, weil ich draufgekommen bin, dass sich der wurm *sofort* (muss im millisekundenbereich sein) nach rauslöschen wieder reinschreibt.
versuch 3:
- autostart eintrag raus und sofort strom weg (war eher ein jux-versuch)
-> hat leider nicht geklappt, beim nächsten start war er wieder aktiv. entweder war der strom zu schnell weg ... oder zu langsam *lol*.
wurm, verar---- mich nicht! sonst hol ich meine amsel ausm käfig.
versuch 4:
- windows im abgesicherten modus starten.
-> erfolg. autostart wurde nicht ausgeführt und sober somit nicht gestartet. herrlich. DELETE :-)).
das ganze hat uns 2h gekostet. ich muss anmerken, dass ich nicht ins internet konnte, um nachzusehen, weil sofort massenhaft mails rausgingen.
btw ... norton liveupdate "LUALL.EXE" war auch befallen und ließ uns nicht mehr updaten.
jetzt probieren wirs mal mit AntiVir -- mal schaun.
