Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Backdoor.Win32.agent.akf

Frage Sicherheit Viren und Trojaner

Mitglied: Ragna

Ragna (Level 1) - Jetzt verbinden

10.01.2007, aktualisiert 12.01.2007, 10029 Aufrufe, 4 Kommentare

Moin zusammen,
es geht um den neuen Virus, der getarnt als Rechnung der 1&1 per Mail versendet wird. Hat jemand eine Idee wie sich Backdoor.Win32.agent.akf unschädlich bzw. entfernen lässt?
Wie kann ich ein befallenes Sysem, das sich nicht mehr booten läßt noch retten?
Gruß aus dem Norden
Ragna
Mitglied: cykes
10.01.2007 um 11:21 Uhr
Hi,

im Moment scheinen sämtliche Scanner den Trojaner im besten Fall zu erkennen, es gibt noch
keine genaue Beschreibung im Netz und somit auch noch keine Entfernungstipps.

Du könntest eventuell mal über eine Bart PE CD mit verschiedenen integrierten Virenscannern,
die auf dem aktuellsten Stand sein sollten, scannen und die infizierten Dateien herausfinden
und eventuell löschen lassen. Du solltest Dir die gefundenen Dateinamen aufschreiben und danach die Registry nach diesen durchsuchen und die Verweise auf diese Dateien auch löschen.

Gruß

cykes
Bitte warten ..
Mitglied: ChrisRT
12.01.2007 um 12:29 Uhr
Ich hatte auch das "Glück", die Rechnung.pdf.exe anzuklicken. Daraufhin wurden ca. 10 mal die Schlüssel "WinUpdate" in die Registry eingetragen, die auf die neue, versteckte Datei \system32\algr.exe verwiesen. Der Virenscanner ClamWin (www.clamwin.com) zeigt den Virus "Trojan.Downloader-462" an. Laut Firewall versucht algr.exe ins Internet zu kommen. Das Programm hijackthis 1.99.1 (www.merijn.org) zeigt u.a.:

O4 - HKLM\..\Run: [WinUpdate] C:\WINDOWS\system32\algr.exe
O4 - HKLM\..\RunServices: [WinUpdate] C:\WINDOWS\system32\algr.exe
O4 - HKCU\..\Run: [WinUpdate] C:\WINDOWS\system32\algr.exe
O4 - HKCU\..\RunServices: [WinUpdate] C:\WINDOWS\system32\algr.exe

Löschen in der Registry hat zunächst wenig Sinn, nach wenigen Sekunden sind die Einträge wieder da. Die algr.exe lässt sich erst nach behandeln mit Unlocker (http://ccollomb.free.fr/unlocker/) löschen.

In der Systemsteuerung habe ich noch den Dienst "Windows Update" deaktiviert. Seitdem erscheinen die Registry-Einträge nicht mehr und liessen sich daher mit regedt32 entfernen.

Ob noch etwas zu tun ist, weiß ich derzeit nicht, aber bisher scheint mein System stabil weiter zu laufen, auch nach 3x herunterfahren konnte ich dann gestern den ganzen Tag problemlos arbeiten.

Laut Presse gab es in der 1&1 Mail ja in einer kleinen (ca. 9kB) und einer großen Variante. Meine war die kleine.

Hoffe das hilft dem einen oder anderen...
Bitte warten ..
Mitglied: cykes
12.01.2007 um 18:19 Uhr
Hi,

lies Dir das hier mal bei den kollegene von Onlinekosten.de durch:
http://www.onlinekosten.de/news/artikel/24048/0/1&1_stellt_Tool_geg ...

Es müsste also inzwischen ein Entfernungstool direkt auf der 1&1 Seite geben.

Gruß

cykes

[EDIT] Hier noch der direkte Link zur Symantec Seite für das removal Tool: http://www.symantec.com/enterprise/security_response/writeup.jsp?docid= ...
Bitte warten ..
Mitglied: Ragna
12.01.2007 um 20:11 Uhr
JAAAAA !!! Danke cykes, das wars !!!
Bitte warten ..
Neuester Wissensbeitrag
Exchange Server

WSUS bietet CU22 für Exchange 2007 SP3 nicht an. EOL Exchange 2007

Tipp von DerWoWusste zum Thema Exchange Server ...

Ähnliche Inhalte
Windows Server
gelöst Sharepoint 2016 und der Benutzer-Agent des Browsers (7)

Frage von DerWoWusste zum Thema Windows Server ...

Monitoring
gelöst Zabbix Agent bringt bei Windows Errorcode 1067 beim starten des Dienstes (4)

Frage von M.Marz zum Thema Monitoring ...

Erkennung und -Abwehr
Backdoor in IP-Kameras von Sony (5)

Link von Lochkartenstanzer zum Thema Erkennung und -Abwehr ...

Heiß diskutierte Inhalte
Batch & Shell
gelöst Batch xls nach aktuellem Datum auslesen und email senden (14)

Frage von michi-ffm zum Thema Batch & Shell ...

Windows Server
SBS 2011 Standard virtualisieren (13)

Frage von HeinrichM zum Thema Windows Server ...

Backup
Datensicherung ARCHIV (12)

Frage von fautec56 zum Thema Backup ...

LAN, WAN, Wireless
Per Script auf UniFi-controller zugreifen und WPA2-Key ändern (11)

Frage von Winfried-HH zum Thema LAN, WAN, Wireless ...