Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

MSN Virus mit Anhang MyAlbum2007

Frage Sicherheit Viren und Trojaner

Mitglied: Cythux

Cythux (Level 1) - Jetzt verbinden

04.07.2007, aktualisiert 08.08.2007, 12072 Aufrufe, 10 Kommentare

Suche Möglichkeiten ohne Neuistallation vom Betriebsystem um den neuen MSN Virus loszuwerden,
da dieser sich angeblich sogar über den IRC Client ICQ vorhanden sein soll!!
Dieser Virus benutzt leider dazu noch die Backdoor Funktion und verteilt sich somit an alle weiter die
im MSN unterwegs sind, man kann die Datei zwar Löschen, aber sie kommt trotzdem immer wieder!

Viele Kunden haben den im moment drauf, und es werden immer mehr!!

Wirklich mal Hilfe von Fachleuten, habe mich schon jetzt über 3 Tage durchgeguggelt!!

Die Datei die dieser Virus/Trojaner hinterlässt ist "MyAlbum2007" und der Virus wird als WIN32:ISTbar-AU2 erkannt
Mitglied: gnarff
04.07.2007 um 01:24 Uhr
Hallo Cythux,

dieser Schaedling ist auch unter dem Namen Troj/Istbar-DG bekannt.
Dieser Trojaner ist an sich nichts neues, es gibt Ihn schon seit drei Jahren.
In den letzten Tagen sind allerdingsgs neue Varianten entdeckt worden, Sophos bietet gegen oben genannten Trojaner erst seit gestern eine Signatur an.

Um Dir konkret sagen zu koennen, was der Schaedling macht und wie man ihn wieder los wird, muesstest Du mir Diesen komprimiert in einem *.zip oder *.tar - Format einsenden an: ceo_at_ampersanded.com
Wenn Du das moechtest, dann melde mir das VORHER via PN an!

In der vom Schaedling hinterlassenen Datei, stehen alle Angaben betreffend der nachfolgend runtergeladenen oder noch nachzuladenen Schadprogramme verzeichnet; sowie deren Download-Adressen, das sollte dann in etwa so aussehen:
|5|20050406|
ts|http://URLHIER/DR_S/bp/as_8_new.exe|1|bs_8_new.exe|1.0|1|
adsh|http://URLHIER/DR_S/bp/afita.exe|2|afita.exe|1.2|1|
sfitb|http://URLHIER/DR_S/bp/SYSsfita.dll|3|SYSsfita.dll|1.0|2
sfitb||
ezu|http://URLHIER/DR_S/bp/wzStub.exe|3|wzStub.exe|1.0|1|
sfisb|http://URLHIER/DR_S/bp/ReplaceSearch.dll|3|ReplaceSearch
sfisb|.dll|1.0|2|

Du kannst mir hier mal dein HijackThis Log posten, download unter:
http://www.merijn.org/programs.php#hijackthis

saludos
gnarff
Bitte warten ..
Mitglied: gnarff
05.07.2007 um 19:43 Uhr
Sehr schoene Arbeit!
Haette diese Datei nur zu gern selbst gehabt, da ich mich beruflich mit Malware- Reverse Engineering befasse.
saludos
gnarff
Bitte warten ..
Mitglied: PietKoeln
31.07.2007 um 14:31 Uhr
Habe jetzt auch genau das gleich problem kan mir einer vieleicht helfen damit ich das wieder weg bekomme antivir finded bei jeden suchlaufm was neues habe die datei allerdings schon wieder gelöscht
Bitte warten ..
Mitglied: gnarff
31.07.2007 um 15:33 Uhr
Hallo Piet!
Habe jetzt auch genau das gleich problem kan
mir einer vieleicht helfen damit ich das
wieder weg bekomme antivir finded bei jeden
suchlaufm was neues habe die datei allerdings
schon wieder gelöscht
WAS findet AntiVir?
saludos
gnarff
Bitte warten ..
Mitglied: PietKoeln
31.07.2007 um 18:01 Uhr
TR/Crypt.ULPM.Gen' [TR/Crypt.ULPM.Gen

wenn du das meinst
Bitte warten ..
Mitglied: gnarff
31.07.2007 um 19:47 Uhr
Hallo Piet!

Ja, exakt, dass meinte ich!
Der von Dir gemeldete Schaedling TR/Crypt.ULPM.Gen, ist auch unter folgenden Namen bekannt:
*Worm_Brontok_AM,
*W32/Rontokbro.gen@MM,
*W32.Rontokbro.B@mm,
*W32/BRONTOK-CV,
*Win32/BRONTOK@mm!0A1C

Es handelt sich hierbei um einen Wurm, der gleich mit 4 Payloads ins Haus kommt:
- Im Windows Explorer schaltet er die Funktion "Optionen" im Menue "Werkzeuge" ab.
- Er verhindert den Zugriff auf den Registrierdatenbank-Editor.
- Er verhindert den Zugriff auf cmd.exe, der Kommandozeile
- Er faehrt das System runter, bzw. rebootet es.

Dieser speicherresidente Schaedling verbreitet sich mittels von E-Mail Anhaengen und versendet sich dann weiter.
Diese Features machen es zur Fleissarbeit, dieses Schadprogramm von Hand vom Rechner zu entfernen.
Das geht wie folgt:
1. Die Systemwiederherstellung ausschalten.
2. Neustart und mit F8 in den abgesicherten Betriebsmodus gehen.
3. Zugriff auf den Registrierdatenbank-Editor wieder herstellen, das geht wie folgt beschrieben:
- Den Editor NOTEPAD oeffnen und folgendes eingeben:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\System]
"DisableRegistryTools" = dword:00000000

Diese Datei als NEU.REG auf dem Desktop abspeichern und danach mittels Doppelclick ausfuehren lassen.
Jetzt sollten wir wieder Zugriff auf den Registrierdatenbank-Editor haben

4. Mit REGEDIT greifen wir darauf zu und beginnen mit den Saeuberungsarbeiten:
Suche den Schluessel:
HKEY_CURRENT_USERSoftware\Microsoft\Windows\CurrentVersion\Run
und loesche den Eintrag
Tok-Cirrhatus = "%User Profile%\Local Settings\Application Data\smss.exe"
oder einen Aehnlichen, der sich auf die smss.exe bezieht, sowie
Bron-Spizaetus = "C:WINDOWS\INF\norBtok.exe"

Desweiteren loeschen wir folgende Eintraege unter:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
- den Eintrag
DisableRegistryTools = "dword:00000001"
loeschen, sowie unter:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
-den Eintrag
NoFolderOptions = "dword:00000001"
loeschen, sowie unter:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
-den Eintrag
DisableCMD = "dword:00000000"
loeschen, womit wir nun auch wieder Zugriff auf die Kommandozeile erhalten.

5. Jetzt endlich koennen wir den Rest der Arbeit von einem Onlinescanner erledigen lassen, wie es etwa der von Bitdefender einer ist, erreichbar unter:
http://www.bitdefender.de

6. Neustart, Fertig.

Wenn Du Schwierigkeiten hast, die richtigen Eintraege in der Registrierdatenbank zu bestimmen, dann poste mir bitte, welche Du vorgefunden hast.
Von jedem zu bearbeitenden Eintrag ist zuvor eine Sicherungskopie anzufertigen, die nach erfolgreicher Entfernung des Schaedlings geloescht werden kann.

saludos
gnarff
Bitte warten ..
Mitglied: 17308
01.08.2007 um 12:16 Uhr
ein tool hilft auch SFix.exe zu finden auf

http://downloads.andymanchesta.com/RemovalTools/SDFix_ReadMe.html

entpacken,ebgesichrten modus starten, RunThis.bat starten fertig
Bitte warten ..
Mitglied: gnarff
01.08.2007 um 17:33 Uhr
Hallo remus!
ein tool hilft auch SFix.exe zu finden auf

http://downloads.andymanchesta.com/RemovalTools/SDFix_ReadMe.html

entpacken,ebgesichrten modus starten,
RunThis.bat starten fertig
Woher weisst Du das, hast Du dieses Variante des Schaedlings analysiert?
Wenn nur SDFix [sehr gutes Tool uebrigends] benutzt wird, bleibt der Rechner u.U. weiterhin infiziert.

saludos
gnarff
Bitte warten ..
Mitglied: 17308
02.08.2007 um 08:23 Uhr
also mein bruder hatte den virus auch und bei ihm hatte es geklappt als ich das durchführte
Bitte warten ..
Mitglied: gnarff
02.08.2007 um 15:01 Uhr
Hallo remus!
also mein bruder hatte den virus auch und bei
ihm hatte es geklappt als ich das
durchführte
Deswegen schrieb ich ja auch "u.U", das heisst "unter Umstaenden".
Es KANN funktionieren, MUSS es aber nicht.
Deswegen ist es besser den quaelenden, langen Weg zu gehen wie von mir oben beschrieben, damit man SICHER sein kann, dass der Schaedling auch wirklich entfernt wurde.

saludos
gnarff
Bitte warten ..
Ähnliche Inhalte
Viren und Trojaner
Zepto Virus
Frage von franksigViren und Trojaner12 Kommentare

Hallo zusammen, hat jemand Erfahrung mit dem Zepto Virus ? reicht es wenn der Client wo der Virus ausgeführt ...

Windows 10
Virus Locky infiziert das Bios ?
gelöst Frage von 1Werner1Windows 104 Kommentare

Moin, ich habe auf einen mit Locky Virus befallenden PC das Windows neu aufgesetzt, und natürlich auch das Programm ...

Viren und Trojaner
Virus von PC entfernen?
Frage von MimetypeViren und Trojaner21 Kommentare

Hallo, eigentlich beschäftige ich mich mit so etwas weniger. Habe aber nun einen Laptop von einem Kunden auf dem ...

Viren und Trojaner
Virus hat Dateien verschlüsselt
gelöst Frage von bertburgerViren und Trojaner29 Kommentare

Guten Tag, habe von einem Bekannten (Windows7prof32bit) einen Anruf erhalten, dass er seine Daten (pdf, dtf, doc usw) auf ...

Neue Wissensbeiträge
Mac OS X

MacOS wo ist die Tilde ?

Tipp von Alchimedes vor 2 StundenMac OS X

Hallo, ich hab eine MacOS qwertz Keyboard auf US Layout umgestellt da die Sonderzeichen besser ereichbar sind. Leider fehlt ...

Datenschutz

Weitere Inforamtionen zum Sicherheitsproblem BeA

Information von Penny.Cilin vor 9 StundenDatenschutz

Im folgenden ein weiterer Bericht über die Sicherheitsprobleme von Bea. Fataler Konstruktionsfehler im besonderen elektronischen Anwaltspostfach Gruss Penny

Windows 10

Systemdienste behalten nach Win10 inplace-Upgrade nicht die ggf. modifizierte Startart bei

Tipp von DerWoWusste vor 11 StundenWindows 103 Kommentare

Stellt Euch vor, Ihr habt ein Win10 System und modifiziert dort die Startart von Systemdiensten. Zum Beispiel wollt Ihr ...

Microsoft Office

Deaktivieren von Startbildschirm und Backstage-Ansicht in Office 2016 per Batch-Datei

Anleitung von SarekHL vor 14 StundenMicrosoft Office17 Kommentare

Guten Morgen zusammen! Ich habe mir gestern (auch mit Hilfe dieses Boards) ein Script gebastelt, um in Office 2016 ...

Heiß diskutierte Inhalte
Netzwerke
NTFS-Berechtigung
Frage von Daoudi1973Netzwerke23 Kommentare

Hallo zusammen und frohes neues Jahr (Sorry, ich bin spät dran) Meine Frage: 1- Ich habe einen Ordner im ...

Batch & Shell
AD-Abfrage in Batchdatei und Ergebnis als Variable verarbeiten
gelöst Frage von Winfried-HHBatch & Shell19 Kommentare

Hallo in die Runde! Ich habe eine Ergänzungsfrage zu einem alten Thread von mir. Ausgangslage ist die Batchdatei, die ...

Microsoft Office
Deaktivieren von Startbildschirm und Backstage-Ansicht in Office 2016 per Batch-Datei
Anleitung von SarekHLMicrosoft Office17 Kommentare

Guten Morgen zusammen! Ich habe mir gestern (auch mit Hilfe dieses Boards) ein Script gebastelt, um in Office 2016 ...

Windows 10
Netbook erkennt Soundkarte nicht - keinerlei Info zum Hersteller und Modell vom Netbook und Hardware bekannt
Frage von fyrb38Windows 1017 Kommentare

Guten Tag, meine Schwester reist in einigen Wochen für ein paar Monate ins Ausland und hat sich dafür ein ...