Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Sehr ungewöhnliches Problem mit Virus W32 YahLover.Worm

Mitglied: kingbrainy

kingbrainy (Level 1) - Jetzt verbinden

12.11.2007, aktualisiert 19.11.2007, 7305 Aufrufe, 3 Kommentare

benötige dringend Hilfe da es sich um ein Firmennetzwerk handelt und dieses zu 75% betroffen ist.

Hallo,

ich bin als User hier neu, habe mir jedoch schon oft per google die passenden Threads rausgesucht, wenn ich mal eine Frage. Doch
nun ist es soweit, dass ich mich selbst anmelden musste und einen Beitrag erstellt habe, da ich einfach nicht weiter komme und
mit meinem Latein am Ende bin.

Zuerst einmal mein Problem im Detail:

Ich betreue als IT Dienstleister eine Firma die mich heute anrief und mir sagte, sie hätten eine Virus Warnmeldung von McAfee
bekommen. Die Meldung besagt, dass es sich um den Virus "W32/YahLover.Worm" handelt und das McAfee eine "exe" gelöscht hat.

Soweit so schön! Doch diese Meldung kommt ca. 50x nacheinander, jedoch immer eine andere "exe".

Nun zum ungewöhnlichen:

Egal welches Programm ich benutze um nach dem Wurm zu suchen, das Ergebnis ist immer das Gleiche. Es wird keine infizierte Datei
gefunden. Egal ob ich mit McAfee, Panda Online Scanner, Ewido Online Scanner, F-Secure oder sonstigem danach suche.
Jedoch erscheint nebenher immer wieder die Meldung mit den von McAfee gelöschten "exe" Files. So nach ca. 50 Meldungen ist
ungefähr 2 - 5 Minuten Ruhe, dann geht es mit den Meldungen wieder weiter. Doch wieder handelt es sich um unterschiedliche "exe"
Files. Auch alle anderen Dateien, die der YahLover Wurm laut AntiViren Herstellern erstellt sind nicht vorhanden. Keine der sonst zur
Entfernung angegebenen Registry Key's sind vorhanden. Nichts deutet darauf hin, dass dieser Wurm wirklich da ist, außer eben die
McAfee Meldungen.

Laut Herstellern überträgt sich der Wurm per Messenger, Email und P2P. In den Emails kann ich nichts finden und mir wurde versichert,
dass es keine ungewöhnlichen Emails gab. Instant Messaging ist nirgend installiert (außer Hamachi, was aber meiner Meinung nach kein
IM ist). Ebenso gibt es keine P2P Programme in diesem Netz.

Das einzige was ich finden konnte war die Yahoo Toolbar, diese habe ich deinstalliert.

Ich bin nun mit meinem Wissen am Ende und hoffe darauf, dass jemandem von euch ein Lösungsansatz einfällt.


Danke für's lesen.


Gruß
Andre
Mitglied: ConnecT
12.11.2007 um 20:56 Uhr
vielleicht hilft Dir diese Anleitung weiter?
http://de.trendmicro-europe.com/consumer/vinfo/encyclopedia.php?LYstr=V ...

Gruß Christian
Bitte warten ..
Mitglied: kingbrainy
15.11.2007 um 17:14 Uhr
Ich habe mir jetzt die letzten 2 Tage einen abgebrochen um dem Fehler oder besser gesagt Virus auf die Spur zu kommen, doch leider bisher ohne Erfolg.

Ich habe mittlerweile 6 verschiedene Scan Engines ausprobiert. Die meisten haben ein paar Tracking Cookies gefunden und diese gelöscht, das war aber nicht der Virus. Desweiteren habe ich festgestellt, dass der Virus immer wieder .exe Dateien anlegt, die genaus so heißen wie der Ordner in dem sie sich befinden. Beispiel:

C:\Programme\AVM\avm.exe
C:\Programme\new_folder\new_folder.exe
C:\Temp\temp.exe
usw......


Was könnte das sein? Diese Dateien werden meiner Meinung nach erstellt und dann gleich vom laufenden AntiViren Programm erkannt und wieder gelöscht, das aber macht den/die Rechner so langsam, dass man kaum noch richtig arbeiten kann.

Was fällt euch dazu ein?


Gruß
Andre
Bitte warten ..
Mitglied: gnarff
19.11.2007 um 16:09 Uhr
Hier handelt es sich nicht wie zunächst von Dir erwartet, um den W32 YahLover.Worm sondern um den W32/Aegi-A oder einer Variante dessen.

1. Schalte die Systemwiederherstellung ab
2. Ueberpruefe die Einträge unter HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
der betreffende: "ExecLoader =" Schlüssel sollte gelöscht werden
3. Onlinscanner in Anspruch nehmen

saludos
gnarff
Bitte warten ..
Ähnliche Inhalte
Grafikkarten & Monitore

Sehr ungewöhnliche Bildschirm konfiguration

gelöst Frage von K-ist-KGrafikkarten & Monitore25 Kommentare

Hallo werte Administrator Leser und Leserinnen, ich besitze Privat 3 Bildschirme. Betriebssystem Windows 8.1. Nvidia Geforce 970 GTX Früher ...

Windows Installation

Ungewöhnliche Batch Befehle

gelöst Frage von lordofremixesWindows Installation29 Kommentare

Hallo zusammen, ich suche für eine automatische Batchinstallation 4 Befehle, die in einer Batch erfolgreich abgearbeitet werden sollen: 1. ...

Webbrowser

Google-Meldung "Ungewöhnlicher Datenverkehr"

Frage von achkleinWebbrowser9 Kommentare

Hallo, ich wurde bei meinem Hautarzt angesprochen, weil auf einem Praxisrechner beim Aufrufen der Google-Suche folgende Meldung kommt: Unsere ...

Batch & Shell

Ungewöhnliche Txt.Datei-Abfrage mit Batch

Frage von DaTobsnBatch & Shell3 Kommentare

Ich habe in einem Ordner verschiedene txtDateien, welche verschiedenes enthalten. Ich will in ALLEN txtDateien nach etwas zuvor durch ...

Neue Wissensbeiträge
Humor (lol)
Meine Variante der DSGVO
Tipp von Henere vor 8 StundenHumor (lol)

Datenschutzerklärung Jede gute Website braucht eine Datenschutzerklärung? Ok, dann machen Sie sich auf etwas gefasst. Präambel Artikel 12 der ...

Administrator.de Feedback

Entwicklertagebuch: Datenschutzerklärung nach DS-GVO

Information von admtech vor 15 StundenAdministrator.de Feedback

Hallo Administrator User, Wir respektieren eure Privatsphäre und möchten euch daher auf die Möglichkeiten für den Umgang mit euren ...

Voice over IP

Rufnummernblock aufbrechen nun möglich bei DTAG

Tipp von Datenreise vor 18 StundenVoice over IP

Bei der Telekom ist es seit einigen Tagen laut Aussage der Geschäftskunden-Hotline möglich, eine Rufnummernübernahme auch dann durchzuführen, wenn ...

Netzwerke
Riesiges Botnetz in Deutschland
Tipp von FFSephiroth vor 20 StundenNetzwerke1 Kommentar

Überprüft mal eure Router und NAS

Heiß diskutierte Inhalte
Datenschutz
E-Mail Verschlüsselung DSGVO 2018
gelöst Frage von SoccerdeluxDatenschutz33 Kommentare

Hallo zusammen, ich verzweifele langsam und wende mich an euch und hoffe vielleicht ein paar Antworten zu finden. Ich ...

HTML
Link nicht vollständig
Frage von jensgebkenHTML33 Kommentare

Hallo Gemeinschaft, ich erstelle mit Word einen Serienbrief, den ich per Mail versende. Nun mein Problem der Wordserienbrief holt ...

Voice over IP
VOIP: Lösungen für Notruf?
Frage von MimemmmVoice over IP22 Kommentare

Hey Welche Möglichkeiten hat man eigentlich noch bei VOIP um zuverlässige Notrufe zu ermöglichen? Ein aufgeladenes Handy habe ist ...

Server-Hardware
HPE DL 360e GEN8 - P420 - Lüfter drehen auf nach Festplattenwechsel
Frage von maniacmacpainServer-Hardware20 Kommentare

Hallo, ich kenne den Effekt, dass man bei der GEN8 von HP ein Array eingerichtet haben muss, damit die ...