Heute fand ich eine mail vor, mit dem Absender "Das Team von Microsoft Outlook" und irgend einer mir nicht bekannten Adresse (in ds. Fall t-online).

Daran war irgendwas angehängt (Eudora meldete "bad attachment", ich wählte eh "get rid of it", wirklich weg wars nicht (hieß "AP", 50k groß, ich editierte die Datei mit Notepad (kann nix passieren). Zu lesen war



.......This program cannot be run in DOS mode............
[Zeichenwirrwarr, also was binäres]
.......
KERNEL32.DLL ADVAPI32.dll MPR.dll MSVCRT.dll USER32.dll WSOCK32.dll LoadLibraryA GetProcAddress ExitProcess RegCloseKey WNetCloseEnum _iob SetTimer


sehr verdächtig nicht?
Der Virenscanner hat nicht geschrien, muß also was neues sein!

Zeichenwirrwarr, also was binäres Dann wäre dort aber nur 0 und 1 gestanden ;)

However: es ist derzeit gerade ein neuer Virus unterwegs, der scheinbar noch nicht von allen Scannern erkannt wird.

Und einige von Dir gepostete Einträge lassen tatsächlich auf einen Virus schließen.

Weitere Infos: http://www.nai.com/ (rechts oben, nicht zu übersehen ;) ).

Welchen Scanner verwendest eigentlich?

Original geschrieben von Christoph

Und einige von Dir gepostete Einträge lassen tatsächlich auf einen Virus schließen.

Welchen Scanner verwendest eigentlich?



:confused:
kannst mir bitte genauer erklären, wie Du das meinst?

Scanner ist der McAfee, habe vielleicht 2 Wochen kein Update nachgezogen..... Dann hat ers in dem Anhang entdeckt. Nach komplettem Plattenscan habe ich nix gefunden.

McAfee ist eh ganz ok.

Lad Dir halt das aktuellste Update runter und laß ihn wirklich alles scannen was er scannen kann.
Wenn er dann nix findet, kannst fürs Erste davon ausgehen, dass alles in Ordnung ist.
Eventuell in ein paar Tagen dann nocheinmal updaten und scannen lassen, für den Fall dass es echt ein ganz neuer Virus war.
Und wenn dann keine Probleme auftreten, dann hast wohl einfach Glück gehabt ;)

Zudem verwend ich kein Outlook, das schließt schon mal einiges aus.

Laufwerke hab ich gleich komplett gescannt (d.h. latürnich alle Datien inkl. Zip, etc. Archive).

Es dürfte alles noch funktionieren :D

@christoph...

du hast aber auch ein spannendes Metawissen über PC´s oder?

selbst wenns eine reine binäre zeichenfolge ist, zeigt Edit irgendwelche (die mit dieser zeichenfolge codierten) ASCII-Zeichen an.

Binär kannst nur mit einem HEX-Editor arbeiten und selbst dort hast dann 0,1,2,3,4,5,6,7,8,9,A,B,C,D,E,F stehen.... :rolleyes: :rolleyes: :rolleyes:

Original geschrieben von Br@in
@christoph...

du hast aber auch ein spannendes Metawissen über PC´s oder?

selbst wenns eine reine binäre zeichenfolge ist, zeigt Edit irgendwelche (die mit dieser zeichenfolge codierten) ASCII-Zeichen an.

Binär kannst nur mit einem HEX-Editor arbeiten und selbst dort hast dann 0,1,2,3,4,5,6,7,8,9,A,B,C,D,E,F stehen.... :rolleyes: :rolleyes: :rolleyes:

genau nur diese Unterscheidung habe ich machen wollen (ob's entweder ein Textanhang oder halt was anderes ist)

@Christoph: na wehe, Du host mein PC attackiert ..... :D :devil:

Original geschrieben von Br@in
@christoph...

du hast aber auch ein spannendes Metawissen über PC´s oder?
Mein Gott, mach ma jetzt Haarspalterei.

Also einigen wir uns drauf: im Editor werden nur ASCII-Zeichen dargestellt, es ist also nicht ersichtbar in welcher Sprache das Programm compiliert wurde :rolleyes:

War halt grad nicht ganz bei der Sache.
Aber über HEX & Programmieren brauchst MIR nix zu erzählen.
Weil das hab ich schon mit der Muttermilch vermittelt bekommen ;)

Original geschrieben von Br@in
@christoph...

du hast aber auch ein spannendes Metawissen über PC´s oder?

selbst wenns eine reine binäre zeichenfolge ist, zeigt Edit irgendwelche (die mit dieser zeichenfolge codierten) ASCII-Zeichen an.

Binär kannst nur mit einem HEX-Editor arbeiten und selbst dort hast dann 0,1,2,3,4,5,6,7,8,9,A,B,C,D,E,F stehen.... :rolleyes: :rolleyes: :rolleyes:

Tja, das war auch Metawissen... Im HEX-Editor (wie der Name schon sagt), arbeitet man im hexadezimalen Zahlensystem, also einem Zahlensystem mit 16 als Basis. Dies, weil der binäre Wert 11111111 dem hexWert #FF entspricht, und somit mit zwei Ziffern bequem gearbeitet werden kann und Speicherbelegungen somit übersichtlicher dargestellt werden können.

Die Zeichenfolge "This program cannot be run in Dos mode" ist ein Anzeichen für eine für Windows kompilierte Datei, also ein executable, vermutlich mit einem C++-Compiler erstellt.

hört sich verdächtig an!

ich tipp mal auf bugbear?

http://futurezone.orf.at/futurezone.orf?read=detail&id=131919

Original geschrieben von Freeride2002

Tja, das war auch Metawissen... Im HEX-Editor (wie der Name schon sagt), arbeitet man im hexadezimalen Zahlensystem, also einem Zahlensystem mit 16 als Basis. Dies, weil der binäre Wert 11111111 dem hexWert #FF entspricht, und somit mit zwei Ziffern bequem gearbeitet werden kann und Speicherbelegungen somit übersichtlicher dargestellt werden können.


Genau das hab ich auch geschrieben...

:rolleyes: :cool:

und die Zahlenpaare sind auch nur eine Hirnkrücke weils eigentlich wurscht ist ubs FF FA FF steht oder FFFAFF weil auf der Festplatte steht (als Daten abgesehen von paritätsbits und fehlerkorrigierendem Code) sowieso nur 111111111111110011111111 :eek:

Original geschrieben von Freeride2002


Im HEX-Editor (wie der Name schon sagt), arbeitet man im hexadezimalen Zahlensystem, also einem Zahlensystem mit 16 als Basis.


Das stimmt nicht einmal, man arbeitet primär binär! Nur als Denkhilfe für den Menschen (und zum Platzsparen) [B ist kürzer als 1101] wird es am Monitor als hexadezimal dargestellt.

Aber DAS war jetzt Haarspalterei :)

@all
da hier eine geballte Mannschaft von Experten sitzt, hätte ich mal eine Frage: Wißt Ihr, was "Residential Gateway Device" bedeutet?

Habe das Zeichen auf dem Desktop (schaut aus wie eine Leitung mit einem Bildschirm drüber, oben drauf eine V-Antenne)
In der unteren Taskleiste meldet sich schon wieder diese Zeichen mit der Mitteilung, daß ein neues Gerät identifiziert ist.:confused:
Soll angeblich ein Microsoft Ding sein, bin mir aber nicht sicher.
Soll ich updaten, wie empfohlen oder ignorieren?
:confused: :confused: :confused:
cu
manfred

Grüß euch ...

@Bernd

mir ist heute ein Bugbear übern weg gelaufen - mit deinem 50k Anhängesel liegst gar net so daneben.

Auf http://www.nai.com findest unter Virus Alerts und dann w32.Bugbear@MM (oder wie des Klump heißt) ein Tool namens Stinger das ist nur auf die Neuen Würmer&Co Spezialisiert. Und Gratis.
(Wie gut des allerdings ist weiß i net. weil bei uns der McAfee schon den Job erledigt hatte :D)

Es gibt ja einige McAfee Versionen, ich weiß net ob das bei allen geht, aber mach zusätzlich um UPDATE auch mal ein UPGRADE.
Dafür gibts die sog. SuperDAT-Files. Da wird net nur das Virenarchiv sondern auch die Scan-Engine Upgedatet (empfiehlt sich jeden Monat mal)


Greez,
Oli
Oli

@Manfred

wa shastn für eine Windoof version?
kann sein das des das Internet Connection Sharing ist?

*never heard before*

Original geschrieben von manfred
@all
da hier eine geballte Mannschaft von Experten sitzt, hätte ich mal eine Frage: Wißt Ihr, was "Residential Gateway Device" bedeutet?

Habe das Zeichen auf dem Desktop (schaut aus wie eine Leitung mit einem Bildschirm drüber, oben drauf eine V-Antenne)
In der unteren Taskleiste meldet sich schon wieder diese Zeichen mit der Mitteilung, daß ein neues Gerät identifiziert ist.:confused:
Soll angeblich ein Microsoft Ding sein, bin mir aber nicht sicher.
Soll ich updaten, wie empfohlen oder ignorieren?
:confused: :confused: :confused:
cu
manfred

Hmmm, ich hab mehr mit Hardware zu tun, Elektrotechnik-Nachrichtentechnik.

Residential Gateway Device heisst ja "Zuhausehabendes Richtungstür Gerät" :D, ich schätze amal das das eine spezielle Art von Netzwerkkarte oder wahrscheinlicher Routingprogramm ist.

Wennst nicht weisst wofürs ist, brauchst es sicher nicht, außerdem haben Viren und Trojaner ja immer die witzigsten Namen, damits sichs keiner löschen traut, ein Scan wäre also kein Fehler. tucows.chello.at (dort lassen sich etliche Scanner als Testversion runterladen) oder www.nai.com (die Macher von Norton Antivirus - dort gibts an Link auf den OnlineSecurityCheck

Diese Residential Gateway Device ist bei mir manchmal erschienen wie ich auf einem PC noch Win Me, am anderen aber schon XP hatte.
Seit ich auf beiden XP habe gibt's dieses Gateway nicht mehr.

Ich hab aber keine Ahnung was das bringen soll. Außerdem kommt's und geht'S wie's ihm taugt.
Am Besten ignorierst es einfach ;)

Original geschrieben von Br@in
...oder www.nai.com (die Macher von Norton Antivirus - ...
ääähm, kleine korrektur. nai (network associates inc.) ist der
macher von mcafee, die macher von norton antivirus sind
symantec (www.symantec.com).

aber eh egal, beides sind gute viren-scanner...

CU,
HAL9000

@HAL9000

scheiss STURM :) *mahlzeit* *hicks*

Original geschrieben von Christoph
Diese Residential Gateway Device ist bei mir manchmal erschienen wie ich auf einem PC noch Win Me, am anderen aber schon XP hatte...
... ist ein bekanntes problem: http://support.microsoft.com/default.aspx?scid=kb;en-us;Q298757

@ manfred
das residential gateway device kriegst du, wenn du ics (internet
connection sharing) installierst/verwendest.

@ wareagle
das superdat-file funktioniert mit allen mcafee-produkten ab
version 4.03, egal ob firmen- oder home-produkte.

CU,
HAL9000

was du so beschreibst deutet alles auf einen virus hin
(bugbear is ja momentan ganz aktuell und wird oder wurde auch nicht gleich von den virenprogrammen erkannt)

alles was so mit kernel32.dll zu tun hat lässt im regelfall auf einen virus schließen. das du kein outlook verwendest is aber net unbedingt der schutz schlechthin; es verhindert nur, das sich der virus unkontrolliert weiterverbreitet. in deinem system einnisten, passwörter auslesen, backdoors öffnen, und weiß der teufel was noch alles tut er trotzdem.

der sichererste virenschutz ist noch immer e-mails bei denen dem betreff nicht eindeutig zu entnehmen is, worums geht (auch wenns vom besten speci stammt) ungelesen löschen, oder wenn absender bekannt, rückfragen.

Unbekannte Emails öffnet man am besten mit Telnet (funktioniert nur mit POP3, nicht mit IMAP). So kann man sich die Mail ohne jegliche Gefahr ansehen und kann auch Mails selektiv löschen. Ist zwar nicht so bequem wie eine grafische Oberfläche aber 100% sicher.



@azti: Nicht alles was mit KERNEL32.dll zu tun hat ist ein Virus. Jedes ausführbare Programm benötigt KERNEL32. WSOCK32.DLL z.B. weist darauf hin, dass das Programm über TCP/IP Routinen verfügt, usw.

das stimmt

ich hab da ein kleines tool, das schaut über den pop3 nach,
welche email ich habe (von wem, größe, betreff,..); und bei bedarf kann ich bedenkliche mail gleich löschen ohne sie runterzuladen. geht schnell und effektiv und brauch nicht mal ein webmail dazu