Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

MSN Virus mit Anhang MyAlbum2007

Frage Sicherheit Viren und Trojaner

Mitglied: Cythux

Cythux (Level 1) - Jetzt verbinden

04.07.2007, aktualisiert 08.08.2007, 12020 Aufrufe, 10 Kommentare

Suche Möglichkeiten ohne Neuistallation vom Betriebsystem um den neuen MSN Virus loszuwerden,
da dieser sich angeblich sogar über den IRC Client ICQ vorhanden sein soll!!
Dieser Virus benutzt leider dazu noch die Backdoor Funktion und verteilt sich somit an alle weiter die
im MSN unterwegs sind, man kann die Datei zwar Löschen, aber sie kommt trotzdem immer wieder!

Viele Kunden haben den im moment drauf, und es werden immer mehr!!

Wirklich mal Hilfe von Fachleuten, habe mich schon jetzt über 3 Tage durchgeguggelt!!

Die Datei die dieser Virus/Trojaner hinterlässt ist "MyAlbum2007" und der Virus wird als WIN32:ISTbar-AU2 erkannt
Mitglied: gnarff
04.07.2007 um 01:24 Uhr
Hallo Cythux,

dieser Schaedling ist auch unter dem Namen Troj/Istbar-DG bekannt.
Dieser Trojaner ist an sich nichts neues, es gibt Ihn schon seit drei Jahren.
In den letzten Tagen sind allerdingsgs neue Varianten entdeckt worden, Sophos bietet gegen oben genannten Trojaner erst seit gestern eine Signatur an.

Um Dir konkret sagen zu koennen, was der Schaedling macht und wie man ihn wieder los wird, muesstest Du mir Diesen komprimiert in einem *.zip oder *.tar - Format einsenden an: ceo_at_ampersanded.com
Wenn Du das moechtest, dann melde mir das VORHER via PN an!

In der vom Schaedling hinterlassenen Datei, stehen alle Angaben betreffend der nachfolgend runtergeladenen oder noch nachzuladenen Schadprogramme verzeichnet; sowie deren Download-Adressen, das sollte dann in etwa so aussehen:
|5|20050406|
ts|http://URLHIER/DR_S/bp/as_8_new.exe|1|bs_8_new.exe|1.0|1|
adsh|http://URLHIER/DR_S/bp/afita.exe|2|afita.exe|1.2|1|
sfitb|http://URLHIER/DR_S/bp/SYSsfita.dll|3|SYSsfita.dll|1.0|2
sfitb||
ezu|http://URLHIER/DR_S/bp/wzStub.exe|3|wzStub.exe|1.0|1|
sfisb|http://URLHIER/DR_S/bp/ReplaceSearch.dll|3|ReplaceSearch
sfisb|.dll|1.0|2|

Du kannst mir hier mal dein HijackThis Log posten, download unter:
http://www.merijn.org/programs.php#hijackthis

saludos
gnarff
Bitte warten ..
Mitglied: gnarff
05.07.2007 um 19:43 Uhr
Sehr schoene Arbeit!
Haette diese Datei nur zu gern selbst gehabt, da ich mich beruflich mit Malware- Reverse Engineering befasse.
saludos
gnarff
Bitte warten ..
Mitglied: PietKoeln
31.07.2007 um 14:31 Uhr
Habe jetzt auch genau das gleich problem kan mir einer vieleicht helfen damit ich das wieder weg bekomme antivir finded bei jeden suchlaufm was neues habe die datei allerdings schon wieder gelöscht
Bitte warten ..
Mitglied: gnarff
31.07.2007 um 15:33 Uhr
Hallo Piet!
Habe jetzt auch genau das gleich problem kan
mir einer vieleicht helfen damit ich das
wieder weg bekomme antivir finded bei jeden
suchlaufm was neues habe die datei allerdings
schon wieder gelöscht
WAS findet AntiVir?
saludos
gnarff
Bitte warten ..
Mitglied: PietKoeln
31.07.2007 um 18:01 Uhr
TR/Crypt.ULPM.Gen' [TR/Crypt.ULPM.Gen

wenn du das meinst
Bitte warten ..
Mitglied: gnarff
31.07.2007 um 19:47 Uhr
Hallo Piet!

Ja, exakt, dass meinte ich!
Der von Dir gemeldete Schaedling TR/Crypt.ULPM.Gen, ist auch unter folgenden Namen bekannt:
*Worm_Brontok_AM,
*W32/Rontokbro.gen@MM,
*W32.Rontokbro.B@mm,
*W32/BRONTOK-CV,
*Win32/BRONTOK@mm!0A1C

Es handelt sich hierbei um einen Wurm, der gleich mit 4 Payloads ins Haus kommt:
- Im Windows Explorer schaltet er die Funktion "Optionen" im Menue "Werkzeuge" ab.
- Er verhindert den Zugriff auf den Registrierdatenbank-Editor.
- Er verhindert den Zugriff auf cmd.exe, der Kommandozeile
- Er faehrt das System runter, bzw. rebootet es.

Dieser speicherresidente Schaedling verbreitet sich mittels von E-Mail Anhaengen und versendet sich dann weiter.
Diese Features machen es zur Fleissarbeit, dieses Schadprogramm von Hand vom Rechner zu entfernen.
Das geht wie folgt:
1. Die Systemwiederherstellung ausschalten.
2. Neustart und mit F8 in den abgesicherten Betriebsmodus gehen.
3. Zugriff auf den Registrierdatenbank-Editor wieder herstellen, das geht wie folgt beschrieben:
- Den Editor NOTEPAD oeffnen und folgendes eingeben:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\System]
"DisableRegistryTools" = dword:00000000

Diese Datei als NEU.REG auf dem Desktop abspeichern und danach mittels Doppelclick ausfuehren lassen.
Jetzt sollten wir wieder Zugriff auf den Registrierdatenbank-Editor haben

4. Mit REGEDIT greifen wir darauf zu und beginnen mit den Saeuberungsarbeiten:
Suche den Schluessel:
HKEY_CURRENT_USERSoftware\Microsoft\Windows\CurrentVersion\Run
und loesche den Eintrag
Tok-Cirrhatus = "%User Profile%\Local Settings\Application Data\smss.exe"
oder einen Aehnlichen, der sich auf die smss.exe bezieht, sowie
Bron-Spizaetus = "C:WINDOWS\INF\norBtok.exe"

Desweiteren loeschen wir folgende Eintraege unter:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
- den Eintrag
DisableRegistryTools = "dword:00000001"
loeschen, sowie unter:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
-den Eintrag
NoFolderOptions = "dword:00000001"
loeschen, sowie unter:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
-den Eintrag
DisableCMD = "dword:00000000"
loeschen, womit wir nun auch wieder Zugriff auf die Kommandozeile erhalten.

5. Jetzt endlich koennen wir den Rest der Arbeit von einem Onlinescanner erledigen lassen, wie es etwa der von Bitdefender einer ist, erreichbar unter:
http://www.bitdefender.de

6. Neustart, Fertig.

Wenn Du Schwierigkeiten hast, die richtigen Eintraege in der Registrierdatenbank zu bestimmen, dann poste mir bitte, welche Du vorgefunden hast.
Von jedem zu bearbeitenden Eintrag ist zuvor eine Sicherungskopie anzufertigen, die nach erfolgreicher Entfernung des Schaedlings geloescht werden kann.

saludos
gnarff
Bitte warten ..
Mitglied: 17308
01.08.2007 um 12:16 Uhr
ein tool hilft auch SFix.exe zu finden auf

http://downloads.andymanchesta.com/RemovalTools/SDFix_ReadMe.html

entpacken,ebgesichrten modus starten, RunThis.bat starten fertig
Bitte warten ..
Mitglied: gnarff
01.08.2007 um 17:33 Uhr
Hallo remus!
ein tool hilft auch SFix.exe zu finden auf

http://downloads.andymanchesta.com/RemovalTools/SDFix_ReadMe.html

entpacken,ebgesichrten modus starten,
RunThis.bat starten fertig
Woher weisst Du das, hast Du dieses Variante des Schaedlings analysiert?
Wenn nur SDFix [sehr gutes Tool uebrigends] benutzt wird, bleibt der Rechner u.U. weiterhin infiziert.

saludos
gnarff
Bitte warten ..
Mitglied: 17308
02.08.2007 um 08:23 Uhr
also mein bruder hatte den virus auch und bei ihm hatte es geklappt als ich das durchführte
Bitte warten ..
Mitglied: gnarff
02.08.2007 um 15:01 Uhr
Hallo remus!
also mein bruder hatte den virus auch und bei
ihm hatte es geklappt als ich das
durchführte
Deswegen schrieb ich ja auch "u.U", das heisst "unter Umstaenden".
Es KANN funktionieren, MUSS es aber nicht.
Deswegen ist es besser den quaelenden, langen Weg zu gehen wie von mir oben beschrieben, damit man SICHER sein kann, dass der Schaedling auch wirklich entfernt wurde.

saludos
gnarff
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Outlook & Mail
Outlook 2010 - eMail mit Anhang wird nicht angezeigt (1)

Frage von staybb zum Thema Outlook & Mail ...

Viren und Trojaner
Virus macht Bilder unleserlich (25)

Frage von linguin zum Thema Viren und Trojaner ...

Erkennung und -Abwehr
Proxy um Anti Virus Sicherheit zu erhöhen ? (6)

Frage von agnostiker zum Thema Erkennung und -Abwehr ...

Viren und Trojaner
gelöst Seltsames Verhalten! Virus? Plinker! (14)

Frage von achim222 zum Thema Viren und Trojaner ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...