Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Sehr ungewöhnliches Problem mit Virus W32 YahLover.Worm

Mitglied: kingbrainy

kingbrainy (Level 1) - Jetzt verbinden

12.11.2007, aktualisiert 19.11.2007, 7332 Aufrufe, 3 Kommentare

benötige dringend Hilfe da es sich um ein Firmennetzwerk handelt und dieses zu 75% betroffen ist.

Hallo,

ich bin als User hier neu, habe mir jedoch schon oft per google die passenden Threads rausgesucht, wenn ich mal eine Frage. Doch
nun ist es soweit, dass ich mich selbst anmelden musste und einen Beitrag erstellt habe, da ich einfach nicht weiter komme und
mit meinem Latein am Ende bin.

Zuerst einmal mein Problem im Detail:

Ich betreue als IT Dienstleister eine Firma die mich heute anrief und mir sagte, sie hätten eine Virus Warnmeldung von McAfee
bekommen. Die Meldung besagt, dass es sich um den Virus "W32/YahLover.Worm" handelt und das McAfee eine "exe" gelöscht hat.

Soweit so schön! Doch diese Meldung kommt ca. 50x nacheinander, jedoch immer eine andere "exe".

Nun zum ungewöhnlichen:

Egal welches Programm ich benutze um nach dem Wurm zu suchen, das Ergebnis ist immer das Gleiche. Es wird keine infizierte Datei
gefunden. Egal ob ich mit McAfee, Panda Online Scanner, Ewido Online Scanner, F-Secure oder sonstigem danach suche.
Jedoch erscheint nebenher immer wieder die Meldung mit den von McAfee gelöschten "exe" Files. So nach ca. 50 Meldungen ist
ungefähr 2 - 5 Minuten Ruhe, dann geht es mit den Meldungen wieder weiter. Doch wieder handelt es sich um unterschiedliche "exe"
Files. Auch alle anderen Dateien, die der YahLover Wurm laut AntiViren Herstellern erstellt sind nicht vorhanden. Keine der sonst zur
Entfernung angegebenen Registry Key's sind vorhanden. Nichts deutet darauf hin, dass dieser Wurm wirklich da ist, außer eben die
McAfee Meldungen.

Laut Herstellern überträgt sich der Wurm per Messenger, Email und P2P. In den Emails kann ich nichts finden und mir wurde versichert,
dass es keine ungewöhnlichen Emails gab. Instant Messaging ist nirgend installiert (außer Hamachi, was aber meiner Meinung nach kein
IM ist). Ebenso gibt es keine P2P Programme in diesem Netz.

Das einzige was ich finden konnte war die Yahoo Toolbar, diese habe ich deinstalliert.

Ich bin nun mit meinem Wissen am Ende und hoffe darauf, dass jemandem von euch ein Lösungsansatz einfällt.


Danke für's lesen.


Gruß
Andre
Mitglied: ConnecT
12.11.2007 um 20:56 Uhr
vielleicht hilft Dir diese Anleitung weiter?
http://de.trendmicro-europe.com/consumer/vinfo/encyclopedia.php?LYstr=V ...

Gruß Christian
Bitte warten ..
Mitglied: kingbrainy
15.11.2007 um 17:14 Uhr
Ich habe mir jetzt die letzten 2 Tage einen abgebrochen um dem Fehler oder besser gesagt Virus auf die Spur zu kommen, doch leider bisher ohne Erfolg.

Ich habe mittlerweile 6 verschiedene Scan Engines ausprobiert. Die meisten haben ein paar Tracking Cookies gefunden und diese gelöscht, das war aber nicht der Virus. Desweiteren habe ich festgestellt, dass der Virus immer wieder .exe Dateien anlegt, die genaus so heißen wie der Ordner in dem sie sich befinden. Beispiel:

C:\Programme\AVM\avm.exe
C:\Programme\new_folder\new_folder.exe
C:\Temp\temp.exe
usw......


Was könnte das sein? Diese Dateien werden meiner Meinung nach erstellt und dann gleich vom laufenden AntiViren Programm erkannt und wieder gelöscht, das aber macht den/die Rechner so langsam, dass man kaum noch richtig arbeiten kann.

Was fällt euch dazu ein?


Gruß
Andre
Bitte warten ..
Mitglied: gnarff
19.11.2007 um 16:09 Uhr
Hier handelt es sich nicht wie zunächst von Dir erwartet, um den W32 YahLover.Worm sondern um den W32/Aegi-A oder einer Variante dessen.

1. Schalte die Systemwiederherstellung ab
2. Ueberpruefe die Einträge unter HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
der betreffende: "ExecLoader =" Schlüssel sollte gelöscht werden
3. Onlinscanner in Anspruch nehmen

saludos
gnarff
Bitte warten ..
Ähnliche Inhalte
Windows Installation
Ungewöhnliche Batch Befehle
gelöst Frage von lordofremixesWindows Installation29 Kommentare

Hallo zusammen, ich suche für eine automatische Batchinstallation 4 Befehle, die in einer Batch erfolgreich abgearbeitet werden sollen: 1. ...

Webbrowser

Google-Meldung "Ungewöhnlicher Datenverkehr"

Frage von achkleinWebbrowser9 Kommentare

Hallo, ich wurde bei meinem Hautarzt angesprochen, weil auf einem Praxisrechner beim Aufrufen der Google-Suche folgende Meldung kommt: Unsere ...

Batch & Shell

Ungewöhnliche Txt.Datei-Abfrage mit Batch

Frage von DaTobsnBatch & Shell3 Kommentare

Ich habe in einem Ordner verschiedene txtDateien, welche verschiedenes enthalten. Ich will in ALLEN txtDateien nach etwas zuvor durch ...

Grafikkarten & Monitore

Sehr ungewöhnliche Bildschirm konfiguration

gelöst Frage von K-ist-KGrafikkarten & Monitore25 Kommentare

Hallo werte Administrator Leser und Leserinnen, ich besitze Privat 3 Bildschirme. Betriebssystem Windows 8.1. Nvidia Geforce 970 GTX Früher ...

Neue Wissensbeiträge
Ausbildung

Linux-Ausstieg in Niedersachsen - Windows statt Bugfix

Information von StefanKittel vor 19 StundenAusbildung8 Kommentare

Sind ja nur Steuergelder

Speicherkarten

Neuer Speicherkartentyp - zunächst nur für Huawei-Smartphones (künftig auch für Notebooks u. Tablets?)

Tipp von VGem-e vor 2 TagenSpeicherkarten2 Kommentare

Servus, als ob das "Chaos" i.S. Speicherkarten noch nicht groß genug wäre?! Evtl. kommt dieser neue Kartentyp bald auch ...

Sicherheit

Diverse D-Link-Router durch drei Schwachstellen kompromittierbar

Information von kgborn vor 2 TagenSicherheit

Hat jemand D-Link-Router in Verwendung? Einige Modelle sind sicherheitstechnisch offen wie ein Scheunentor. Äußerst unschöne Sache, aber nichts neues ...

Hardware

100.000 Mikrotik-Router ungefragt von Hacker abgesichert

Information von 7Gizmo7 vor 3 TagenHardware3 Kommentare

Hallo zusammen, da hier ja öfters mal von Mikrotik gesprochen wird. Trotz Updates klafft eine Sicherheitslücke in Hundertausenden Mikrotik-Routern. ...

Heiß diskutierte Inhalte
Off Topic
SysAdmin im öffentlichen Dienst - jemand Erfahrungen?
Frage von JohnDorianOff Topic22 Kommentare

Hallo zusammen, hat jemand Erfahrung wie es so ist als SysAdmin im öffentlichen Dienst (Landkreis) im Südwesten der Republik ...

SAN, NAS, DAS
Nas mit USB und LAN gleichzeitig zugreifen
gelöst Frage von MarkBeakerSAN, NAS, DAS16 Kommentare

Hallo zusammen, ich suche eine Art NAS, womit ich via LAN und USB zugreifen kann. Folgender Aufbau ist gedacht: ...

Vmware
Offene LDAP-Server in AS
gelöst Frage von obi-wan-kenobiVmware16 Kommentare

Hallo alle Miteinander, ich habe ein Problem, unsere VM-Ware Appliance (Version. 6.5.0.10000) ist scheinbar angreifbar. Wir haben eben die ...

Entwicklung
Ist dies als Programmieren zu bezeichen?
Frage von kmsw110Entwicklung13 Kommentare

Hallo, ein Kollege redet dauernd darüber das er im Betrieb seine Maschinen (Fräsmaschinen) Programmiert bzw. Zahlenwerte in ein .txt ...