Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

ms-dos.security.updates32.biz

0 views
Skip to first unread message

Matthias Groer

unread,
Sep 5, 2005, 10:21:56 AM9/5/05
to
Hallo,

ich will die permanente
"Sie haben Informationen angefordert von ms-dos.security.updates32.biz"
löschen, deaktivieren, wie auch immer.

Nur wie? Der PC arbeitet sich tot und ich schicke mit 128 KB Daten in die
Welt ...

Ich habe die Website
http://sandbox.norman.no/live_2.html?logfile=281722
vorher nie besucht.

Tarnt sich ein Virus, Malware als Antivirprog?

Danke. M. Groer


Gabriele Neukam

unread,
Sep 5, 2005, 11:38:37 AM9/5/05
to
On that special day, Matthias Groer, (gr...@gmx.de) said...

Wie bitte? Ich verstehe kein Wort.

- Wer oder was gibt diese Fehlermeldung aus?
- Was heißt: "Der PC arbeitet sich tot?" Woran erkennt man dieses
Arbeiten?
- Warum wurde Norman Sandbox aufgesucht?
- Was haben updates32.biz und Norman miteinander zu tun? Norman ist ein
VIRENscanner, keiner für TROJANISCHE PFERDE

Bitte mal die Geschichte von A bis Z komplett erzählen; sonst kommen
wir hier nicht weiter.


Whois:

Name: ms-dos.security.updates32.biz
IP: 211.172.242.98, 211.172.244.228,
213.176.151.243, 216.55.159.172,
24.173.252.25, 211.57.209.210
Domain: updates32.biz

Querying whois.apnic.net:43 for 211.172.242.98...
% [whois.apnic.net node-2]
% Whois data copyright terms
http://www.apnic.net/db/dbcopyright.html

inetnum: 211.172.0.0 - 211.199.255.255
netname: KRNIC-KR
descr: KRNIC
descr: Korea Network Information Center
country: KR
admin-c: HM127-AP
tech-c: HM127-AP
remarks: ******************************************
remarks: KRNIC is the National Internet Registry
remarks: in Korea under APNIC. If you would like to
remarks: find assignment information in detail
remarks: please refer to the KRNIC Whois DB
remarks: http://whois.nic.or.kr/english/index.html
remarks: ******************************************
mnt-by: APNIC-HM
mnt-lower: MNT-KRNIC-AP
changed: mailto:hostm...@apnic.net 20000607
changed: mailto:hostm...@apnic.net 20010606
status: ALLOCATED PORTABLE
source: APNIC

person: Host Master
address: 11F, KTF B/D, 1321-11, Seocho2-Dong, Seocho-Gu,
address: Seoul, Korea, 137-857
country: KR
phone: +82-2-2186-4500
fax-no: +82-2-2186-4496
e-mail: mailto:hostm...@nic.or.kr
nic-hdl: HM127-AP
mnt-by: MNT-KRNIC-AP
changed: mailto:hostm...@nic.or.kr 20020507
source: APNIC

inetnum: 211.172.242.0 - 211.172.243.255
netname: KIDC-INFRA-KR
descr: Korea Internet Data Center Inc.
descr: KIDC, 261-1, Nonhyun-dong, Kangnam-gu
descr: Seoul
descr: 135-010
country: KR
admin-c: IA22734-KR
tech-c: IM29530-KR
remarks: This IP address space has been allocated to KRNIC.
remarks: For more information, using KRNIC Whois Database
remarks: whois -h whois.nic.or.kr
mnt-by: MNT-KRNIC-AP
remarks: This information has been partially mirrored by APNIC
from
remarks: KRNIC. To obtain more specific information, please use
the
remarks: KRNIC whois server at whois.krnic.net.
changed: mailto:hostm...@nic.or.kr 20050904
source: KRNIC

person: IP Administrator
descr: Korea Internet Data Center Inc.
descr: KIDC, 261-1, Nonhyun-dong, Kangnam-gu
descr: Seoul
descr: 135-010
country: KR
phone: +82-2-2086-2924
fax-no: +82-2-2086-2929
e-mail: mailto:sup...@kidc.net
nic-hdl: IA22734-KR
mnt-by: MNT-KRNIC-AP
changed: mailto:hostm...@nic.or.kr 20050904
source: KRNIC

person: IP manager
descr: Korea Internet Data Center Inc.
descr: KIDC, 261-1, Nonhyun-dong, Kangnam-gu
descr: Seoul
descr: 135-010
country: KR
phone: +82-2-2086-2924
fax-no: +82-2-2086-2929
e-mail: mailto:i...@kidc.net
nic-hdl: IM29530-KR
mnt-by: MNT-KRNIC-AP
changed: mailto:hostm...@nic.or.kr 20050904
source: KRNIC

Microsoft hat bestimmt keine Domäne in Korea. Also stimmt da etwas
grundlegend nicht. Bearbeite mal Deinen Rechner mit AdAware und Spybot
Search and Destroy, und wenn das nicht wirkt mit CWShredder und
HijackThis!


Gabriele Neukam

Gabriele.Spam...@t-online.de


--
Ah, Information. A property, too valuable these days, to give it away,
just so, at no cost.

Matthias Groer

unread,
Sep 5, 2005, 12:57:43 PM9/5/05
to
PC-Start, windows xp fährt bis zum schluss hoch, alles ok, dann das Fenster:

"Sie haben Informationen angefordert von ms-dos.security.updates32.biz"
(vielleicht ist das der wurm)
mit internet verbinden, abbrechen, ...,

wenn "abbrechen", fenster erscheint alle 10 sec. wieder,
wenn mit internet "verbinden", werden mit 128 KB daten versendet,

nach internettrennung erscheint das fenster wieder.

die verbindung zum internet ist die sandbox
http://sandbox.norman.no/live_2.html?logfile=281722
die ich nie installiert habe

Danke für jeden tipp.

Matthias Groer

unread,
Sep 5, 2005, 1:09:02 PM9/5/05
to
Sorry. auf die sandbox kam ich nur,

weil ich mit

ms-dos.security.updates32.biz

gegoogelt habe.

es werden also nur permanent daten versendet.

Danke.


Ottmar Freudenberger

unread,
Sep 5, 2005, 1:16:26 PM9/5/05
to
"Matthias Groer" <gr...@gmx.de> schrieb:

> ich will die permanente
> "Sie haben Informationen angefordert von ms-dos.security.updates32.biz"
> löschen, deaktivieren, wie auch immer.
>
> Nur wie?

So: http://www.microsoft.com/germany/technet/datenbank/articles/600230.mspx
und anschließend http://windowsupdate.microsoft.com nicht aus "irgend
welchen privaten Gründen" meiden.

Bye,
Freu"Welche Windows-Version Du auch immer verwendest"di
--
Macht euer Windows sicherer: http://windowsupdate.microsoft.com - jetzt!
http://www.microsoft.com/germany/sicherheit/
Infos zu aktuellen Patches für IE, OE und WinXP: http://patch-info.de
Letzte Aktualisierung: IE - 18.08.05 / OE - 17.06.05 / WinXP - 31.08.05

Gabriele Neukam

unread,
Sep 6, 2005, 11:49:59 AM9/6/05
to
On that special day, Matthias Groer, (gr...@gmx.de) said...

> PC-Start, windows xp fährt bis zum schluss hoch, alles ok, dann das Fenster:

Was startet da autom,atisch?

> "Sie haben Informationen angefordert von ms-dos.security.updates32.biz"
> (vielleicht ist das der wurm)
> mit internet verbinden, abbrechen, ...,

Welcher Prozess ist das? Das Fenster kann von überall her stammen.


> wenn "abbrechen", fenster erscheint alle 10 sec. wieder,

ziemlich hartnäckig.

> wenn mit internet "verbinden", werden mit 128 KB daten versendet,

Wie lange?


> nach internettrennung erscheint das fenster wieder.

ziemlich hartnäckig.

Ich würde sagen, Norman Sandbox verbindet sich nicht nach Korea
(jedenfalls nicht von sich aus), kann also höchstens derjenige sein,
der meldet, dass da etwas nicht stimmt.

Aber offensichtlich hat Norman Sandbox *nicht* verhindern können, dass
sich etwas im Rechner eingenistet hat und nun bei jedem Systemstart mit
gestartet wird, und ständig erneut ins Internet will. Und die 128 kb
(ist das etwa die DSL-Bandbreite?) lassen darauf schließen, dass etwas
verschickt wird.

Mit anderen Worten: Der Rechner ist ein Massen-Mail-Versender, auch
Drohne oder Zombie genannt.

Es gilt (wie Ottmar schon sagte): Du hast die Kontrolle über Deinen
Rechner verloren. Lies bitte zusätzlich
http://faq.jors.net/virus
der Autor ist etwas deutlicher und vollkommen ehrlich. Du kennst Deinen
Rechner nicht mehr, denn Du weißt nicht, was er treibt. Wenn Du ihn
wieder in den Griff bekommen willst, und *sicher* sein, dass der
Trojaner, der ihn kontrolliert, sich nicht eine ganze Sippschaft
spezieller "Hilfsprogramme" mit installiert hat, hilft nur noch eines:

Formatieren, neu installieren und schon *vor* dem Surfen sämtliche
Patches drauf tun, die Microsoft anbietet. Ausnahmslos.

Speziell RPC/DCOM, lsass und jetzt auch das Plug and Play von COM-
Komponenten (früher hieß das wohl OLE, angeblich ist das nur ein
Problem bei W2K; aber das glaube ich nicht ganz) bieten offene
Scheunentore zum Missbrauch an; es braucht dann nicht einmal mehr eine
Mail mit ausführbarem Anhang, um den Rechner zu verseuchen.

0 new messages