Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Backdoor.Win32.agent.akf

Frage Sicherheit Viren und Trojaner

Mitglied: Ragna

Ragna (Level 1) - Jetzt verbinden

10.01.2007, aktualisiert 12.01.2007, 10038 Aufrufe, 4 Kommentare

Moin zusammen,
es geht um den neuen Virus, der getarnt als Rechnung der 1&1 per Mail versendet wird. Hat jemand eine Idee wie sich Backdoor.Win32.agent.akf unschädlich bzw. entfernen lässt?
Wie kann ich ein befallenes Sysem, das sich nicht mehr booten läßt noch retten?
Gruß aus dem Norden
Ragna
Mitglied: cykes
10.01.2007 um 11:21 Uhr
Hi,

im Moment scheinen sämtliche Scanner den Trojaner im besten Fall zu erkennen, es gibt noch
keine genaue Beschreibung im Netz und somit auch noch keine Entfernungstipps.

Du könntest eventuell mal über eine Bart PE CD mit verschiedenen integrierten Virenscannern,
die auf dem aktuellsten Stand sein sollten, scannen und die infizierten Dateien herausfinden
und eventuell löschen lassen. Du solltest Dir die gefundenen Dateinamen aufschreiben und danach die Registry nach diesen durchsuchen und die Verweise auf diese Dateien auch löschen.

Gruß

cykes
Bitte warten ..
Mitglied: ChrisRT
12.01.2007 um 12:29 Uhr
Ich hatte auch das "Glück", die Rechnung.pdf.exe anzuklicken. Daraufhin wurden ca. 10 mal die Schlüssel "WinUpdate" in die Registry eingetragen, die auf die neue, versteckte Datei \system32\algr.exe verwiesen. Der Virenscanner ClamWin (www.clamwin.com) zeigt den Virus "Trojan.Downloader-462" an. Laut Firewall versucht algr.exe ins Internet zu kommen. Das Programm hijackthis 1.99.1 (www.merijn.org) zeigt u.a.:

O4 - HKLM\..\Run: [WinUpdate] C:\WINDOWS\system32\algr.exe
O4 - HKLM\..\RunServices: [WinUpdate] C:\WINDOWS\system32\algr.exe
O4 - HKCU\..\Run: [WinUpdate] C:\WINDOWS\system32\algr.exe
O4 - HKCU\..\RunServices: [WinUpdate] C:\WINDOWS\system32\algr.exe

Löschen in der Registry hat zunächst wenig Sinn, nach wenigen Sekunden sind die Einträge wieder da. Die algr.exe lässt sich erst nach behandeln mit Unlocker (http://ccollomb.free.fr/unlocker/) löschen.

In der Systemsteuerung habe ich noch den Dienst "Windows Update" deaktiviert. Seitdem erscheinen die Registry-Einträge nicht mehr und liessen sich daher mit regedt32 entfernen.

Ob noch etwas zu tun ist, weiß ich derzeit nicht, aber bisher scheint mein System stabil weiter zu laufen, auch nach 3x herunterfahren konnte ich dann gestern den ganzen Tag problemlos arbeiten.

Laut Presse gab es in der 1&1 Mail ja in einer kleinen (ca. 9kB) und einer großen Variante. Meine war die kleine.

Hoffe das hilft dem einen oder anderen...
Bitte warten ..
Mitglied: cykes
12.01.2007 um 18:19 Uhr
Hi,

lies Dir das hier mal bei den kollegene von Onlinekosten.de durch:
http://www.onlinekosten.de/news/artikel/24048/0/1&1_stellt_Tool_geg ...

Es müsste also inzwischen ein Entfernungstool direkt auf der 1&1 Seite geben.

Gruß

cykes

[EDIT] Hier noch der direkte Link zur Symantec Seite für das removal Tool: http://www.symantec.com/enterprise/security_response/writeup.jsp?docid= ...
Bitte warten ..
Mitglied: Ragna
12.01.2007 um 20:11 Uhr
JAAAAA !!! Danke cykes, das wars !!!
Bitte warten ..
Ähnliche Inhalte
Visual Studio
gelöst VBScript und WMI (Win32-NetworkAdapterConfiguration) (3)

Frage von MaxMoritz6 zum Thema Visual Studio ...

Windows Server
gelöst Sharepoint 2016 und der Benutzer-Agent des Browsers (7)

Frage von DerWoWusste zum Thema Windows Server ...

Monitoring
gelöst Zabbix Agent bringt bei Windows Errorcode 1067 beim starten des Dienstes (4)

Frage von M.Marz zum Thema Monitoring ...

Erkennung und -Abwehr
Backdoor in IP-Kameras von Sony (5)

Link von Lochkartenstanzer zum Thema Erkennung und -Abwehr ...

Neue Wissensbeiträge
Sicherheits-Tools

Sicherheitstest von Passwörtern für ganze DB-Tabellen

(1)

Tipp von gdconsult zum Thema Sicherheits-Tools ...

Peripheriegeräte

Was beachten bei der Wahl einer USV Anlage im Serverschrank

(9)

Tipp von zetboxit zum Thema Peripheriegeräte ...

Windows 10

Das Windows 10 Creators Update ist auf dem Weg

(6)

Anleitung von BassFishFox zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Exchange Server
Exchange 2016 Standard Server 2012 R2 Hetzner Mail (36)

Frage von Datsspeed zum Thema Exchange Server ...

Verschlüsselung & Zertifikate
Mit Veracrypt eine zweite interne (non-system) Festplatte verschlüsseln (10)

Frage von Bernulf zum Thema Verschlüsselung & Zertifikate ...

Internet Domänen
Nameserver ein Geist? (6)

Frage von zelamedia zum Thema Internet Domänen ...

Microsoft Office
Übertrag in eine andere Tabelle (6)

Frage von charmeur zum Thema Microsoft Office ...