Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Sehr ungewöhnliches Problem mit Virus W32 YahLover.Worm

Mitglied: kingbrainy

kingbrainy (Level 1) - Jetzt verbinden

12.11.2007, aktualisiert 19.11.2007, 7324 Aufrufe, 3 Kommentare

benötige dringend Hilfe da es sich um ein Firmennetzwerk handelt und dieses zu 75% betroffen ist.

Hallo,

ich bin als User hier neu, habe mir jedoch schon oft per google die passenden Threads rausgesucht, wenn ich mal eine Frage. Doch
nun ist es soweit, dass ich mich selbst anmelden musste und einen Beitrag erstellt habe, da ich einfach nicht weiter komme und
mit meinem Latein am Ende bin.

Zuerst einmal mein Problem im Detail:

Ich betreue als IT Dienstleister eine Firma die mich heute anrief und mir sagte, sie hätten eine Virus Warnmeldung von McAfee
bekommen. Die Meldung besagt, dass es sich um den Virus "W32/YahLover.Worm" handelt und das McAfee eine "exe" gelöscht hat.

Soweit so schön! Doch diese Meldung kommt ca. 50x nacheinander, jedoch immer eine andere "exe".

Nun zum ungewöhnlichen:

Egal welches Programm ich benutze um nach dem Wurm zu suchen, das Ergebnis ist immer das Gleiche. Es wird keine infizierte Datei
gefunden. Egal ob ich mit McAfee, Panda Online Scanner, Ewido Online Scanner, F-Secure oder sonstigem danach suche.
Jedoch erscheint nebenher immer wieder die Meldung mit den von McAfee gelöschten "exe" Files. So nach ca. 50 Meldungen ist
ungefähr 2 - 5 Minuten Ruhe, dann geht es mit den Meldungen wieder weiter. Doch wieder handelt es sich um unterschiedliche "exe"
Files. Auch alle anderen Dateien, die der YahLover Wurm laut AntiViren Herstellern erstellt sind nicht vorhanden. Keine der sonst zur
Entfernung angegebenen Registry Key's sind vorhanden. Nichts deutet darauf hin, dass dieser Wurm wirklich da ist, außer eben die
McAfee Meldungen.

Laut Herstellern überträgt sich der Wurm per Messenger, Email und P2P. In den Emails kann ich nichts finden und mir wurde versichert,
dass es keine ungewöhnlichen Emails gab. Instant Messaging ist nirgend installiert (außer Hamachi, was aber meiner Meinung nach kein
IM ist). Ebenso gibt es keine P2P Programme in diesem Netz.

Das einzige was ich finden konnte war die Yahoo Toolbar, diese habe ich deinstalliert.

Ich bin nun mit meinem Wissen am Ende und hoffe darauf, dass jemandem von euch ein Lösungsansatz einfällt.


Danke für's lesen.


Gruß
Andre
Mitglied: ConnecT
12.11.2007 um 20:56 Uhr
vielleicht hilft Dir diese Anleitung weiter?
http://de.trendmicro-europe.com/consumer/vinfo/encyclopedia.php?LYstr=V ...

Gruß Christian
Bitte warten ..
Mitglied: kingbrainy
15.11.2007 um 17:14 Uhr
Ich habe mir jetzt die letzten 2 Tage einen abgebrochen um dem Fehler oder besser gesagt Virus auf die Spur zu kommen, doch leider bisher ohne Erfolg.

Ich habe mittlerweile 6 verschiedene Scan Engines ausprobiert. Die meisten haben ein paar Tracking Cookies gefunden und diese gelöscht, das war aber nicht der Virus. Desweiteren habe ich festgestellt, dass der Virus immer wieder .exe Dateien anlegt, die genaus so heißen wie der Ordner in dem sie sich befinden. Beispiel:

C:\Programme\AVM\avm.exe
C:\Programme\new_folder\new_folder.exe
C:\Temp\temp.exe
usw......


Was könnte das sein? Diese Dateien werden meiner Meinung nach erstellt und dann gleich vom laufenden AntiViren Programm erkannt und wieder gelöscht, das aber macht den/die Rechner so langsam, dass man kaum noch richtig arbeiten kann.

Was fällt euch dazu ein?


Gruß
Andre
Bitte warten ..
Mitglied: gnarff
19.11.2007 um 16:09 Uhr
Hier handelt es sich nicht wie zunächst von Dir erwartet, um den W32 YahLover.Worm sondern um den W32/Aegi-A oder einer Variante dessen.

1. Schalte die Systemwiederherstellung ab
2. Ueberpruefe die Einträge unter HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
der betreffende: "ExecLoader =" Schlüssel sollte gelöscht werden
3. Onlinscanner in Anspruch nehmen

saludos
gnarff
Bitte warten ..
Ähnliche Inhalte
Grafikkarten & Monitore

Sehr ungewöhnliche Bildschirm konfiguration

gelöst Frage von K-ist-KGrafikkarten & Monitore25 Kommentare

Hallo werte Administrator Leser und Leserinnen, ich besitze Privat 3 Bildschirme. Betriebssystem Windows 8.1. Nvidia Geforce 970 GTX Früher ...

Windows Installation

Ungewöhnliche Batch Befehle

gelöst Frage von lordofremixesWindows Installation29 Kommentare

Hallo zusammen, ich suche für eine automatische Batchinstallation 4 Befehle, die in einer Batch erfolgreich abgearbeitet werden sollen: 1. ...

Webbrowser

Google-Meldung "Ungewöhnlicher Datenverkehr"

Frage von achkleinWebbrowser9 Kommentare

Hallo, ich wurde bei meinem Hautarzt angesprochen, weil auf einem Praxisrechner beim Aufrufen der Google-Suche folgende Meldung kommt: Unsere ...

Batch & Shell

Ungewöhnliche Txt.Datei-Abfrage mit Batch

Frage von DaTobsnBatch & Shell3 Kommentare

Ich habe in einem Ordner verschiedene txtDateien, welche verschiedenes enthalten. Ich will in ALLEN txtDateien nach etwas zuvor durch ...

Neue Wissensbeiträge
Backup

2016 - Restore mit WBAdmin - iSCSI Device als Sicherungsziel

Erfahrungsbericht von Henere vor 10 StundenBackup1 Kommentar

Servus zusammen, was mich eben einige graue Haare gekostet hat Server 2016. Ich habe meinem Server eine weitere M2 ...

Humor (lol)
(Part num your Hacked phone. +XX XXXXXX5200)
Erfahrungsbericht von Henere vor 2 TagenHumor (lol)5 Kommentare

Mein Handy hat aber ne ganz andere Endnummer. Muss ich mir jetzt Sorgen machen ? :-) Vielleicht betrifft es ...

Exchange Server

Letztes Update für Exchange 2016 CU9 war in gewisser Weise destruktiv

Erfahrungsbericht von DerWoWusste vor 2 TagenExchange Server8 Kommentare

Kurzer Erfahrungsbericht zu Exchange2016-KB4340731-x64 Der Exchangeserver hat wie gewöhnlich versucht, es in der Nacht automatisch zu installieren - abgesehen ...

Erkennung und -Abwehr

Neue Sicherheitslücke Foreshadow (L1TF) gefährdet fast alle Intel-Prozessoren

Information von Frank vor 3 TagenErkennung und -Abwehr3 Kommentare

Eine neue Sicherheitslücke, genannt Foreshadow (alias L1TF) wurde auf der Usenix Security 18 von einem Team internationaler Experten veröffentlicht. ...

Heiß diskutierte Inhalte
Netzwerke
Netzwerk-Architektur mit VLANs
Frage von niLuxxNetzwerke43 Kommentare

Liebe Community, Ich hätte eine kurze Frage an euch. Ich werde in Kürze das Netzwerk unserer (sehr) kleinen Firma ...

Netzwerke
SSH - Wieso werde ich nach VPN Verbindung rausgeschmissen?
Frage von VernoxVernaxNetzwerke10 Kommentare

Hallo, ich habe es endlich geschafft mein Handy mit einer VPN Verbindung an meinen Router anzuschließen. Nach der Login ...

Microsoft
Ist es möglich ein reines Volume C Datenbackup in eine Hyper-V VM zu konvertieren?
Frage von Frank84Microsoft10 Kommentare

Hallo zusammen, ich habe hier ein Backup vorliegen, das ausschließlich das komplette C:\ Volume eines physischen Server 2012 enthält. ...

Windows Server
Freigaben per Default nur für Domänen-Benutzer
Frage von tierwoWindows Server8 Kommentare

Hallo gibt es eine Möglichkeit, einen Server 2016 so zu konfigurieren (z.B. per GPO), dass Freigaben die erstellt werden ...