Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Backdoor.Win32.agent.akf

Frage Sicherheit Viren und Trojaner

Mitglied: Ragna

Ragna (Level 1) - Jetzt verbinden

10.01.2007, aktualisiert 12.01.2007, 10026 Aufrufe, 4 Kommentare

Moin zusammen,
es geht um den neuen Virus, der getarnt als Rechnung der 1&1 per Mail versendet wird. Hat jemand eine Idee wie sich Backdoor.Win32.agent.akf unschädlich bzw. entfernen lässt?
Wie kann ich ein befallenes Sysem, das sich nicht mehr booten läßt noch retten?
Gruß aus dem Norden
Ragna
Mitglied: cykes
10.01.2007 um 11:21 Uhr
Hi,

im Moment scheinen sämtliche Scanner den Trojaner im besten Fall zu erkennen, es gibt noch
keine genaue Beschreibung im Netz und somit auch noch keine Entfernungstipps.

Du könntest eventuell mal über eine Bart PE CD mit verschiedenen integrierten Virenscannern,
die auf dem aktuellsten Stand sein sollten, scannen und die infizierten Dateien herausfinden
und eventuell löschen lassen. Du solltest Dir die gefundenen Dateinamen aufschreiben und danach die Registry nach diesen durchsuchen und die Verweise auf diese Dateien auch löschen.

Gruß

cykes
Bitte warten ..
Mitglied: ChrisRT
12.01.2007 um 12:29 Uhr
Ich hatte auch das "Glück", die Rechnung.pdf.exe anzuklicken. Daraufhin wurden ca. 10 mal die Schlüssel "WinUpdate" in die Registry eingetragen, die auf die neue, versteckte Datei \system32\algr.exe verwiesen. Der Virenscanner ClamWin (www.clamwin.com) zeigt den Virus "Trojan.Downloader-462" an. Laut Firewall versucht algr.exe ins Internet zu kommen. Das Programm hijackthis 1.99.1 (www.merijn.org) zeigt u.a.:

O4 - HKLM\..\Run: [WinUpdate] C:\WINDOWS\system32\algr.exe
O4 - HKLM\..\RunServices: [WinUpdate] C:\WINDOWS\system32\algr.exe
O4 - HKCU\..\Run: [WinUpdate] C:\WINDOWS\system32\algr.exe
O4 - HKCU\..\RunServices: [WinUpdate] C:\WINDOWS\system32\algr.exe

Löschen in der Registry hat zunächst wenig Sinn, nach wenigen Sekunden sind die Einträge wieder da. Die algr.exe lässt sich erst nach behandeln mit Unlocker (http://ccollomb.free.fr/unlocker/) löschen.

In der Systemsteuerung habe ich noch den Dienst "Windows Update" deaktiviert. Seitdem erscheinen die Registry-Einträge nicht mehr und liessen sich daher mit regedt32 entfernen.

Ob noch etwas zu tun ist, weiß ich derzeit nicht, aber bisher scheint mein System stabil weiter zu laufen, auch nach 3x herunterfahren konnte ich dann gestern den ganzen Tag problemlos arbeiten.

Laut Presse gab es in der 1&1 Mail ja in einer kleinen (ca. 9kB) und einer großen Variante. Meine war die kleine.

Hoffe das hilft dem einen oder anderen...
Bitte warten ..
Mitglied: cykes
12.01.2007 um 18:19 Uhr
Hi,

lies Dir das hier mal bei den kollegene von Onlinekosten.de durch:
http://www.onlinekosten.de/news/artikel/24048/0/1&1_stellt_Tool_geg ...

Es müsste also inzwischen ein Entfernungstool direkt auf der 1&1 Seite geben.

Gruß

cykes

[EDIT] Hier noch der direkte Link zur Symantec Seite für das removal Tool: http://www.symantec.com/enterprise/security_response/writeup.jsp?docid= ...
Bitte warten ..
Mitglied: Ragna
12.01.2007 um 20:11 Uhr
JAAAAA !!! Danke cykes, das wars !!!
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Sicherheits-Tools
OfficeScan11 Agent Installation - Fehlermeldung (1)

Frage von Chaser21a zum Thema Sicherheits-Tools ...

Windows Server
gelöst exe per Taskplaner - 1 ist keine zulässige win32-anwendung (3)

Frage von xbast1x zum Thema Windows Server ...

Sicherheits-Tools
Hidden 'backdoor' in Dell security software gives hackers full access

Link von ticuta1 zum Thema Sicherheits-Tools ...

Heiß diskutierte Inhalte
Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...

Exchange Server
DNS Einstellung - zwei feste IPs für Mailserver (15)

Frage von ivan0s zum Thema Exchange Server ...