ICQ Virus/Trojaner

riC · 16.12.2006, 20:01

Der Trojaner/Schädling verschickt selbständig die Message (siehe Code)

Code:

ATTFilter

check this
h**p://****.seruijingandeshijinpos.com/1/7339/

http://www.viruslist.com/de/search?VN=Email-Worm.Win32.Warezov.et

was sagt ihr dazu, einige kollegen von mir haben den link geöffnet ...
(link zensiert - anstelle der **** stehen eigentlich 4 zahlen )

cad · 16.12.2006, 20:29

Möchtest Du darüber diskutieren oder hast das falsche Forum erwischt?

riC · 16.12.2006, 20:32

jo ich möchte darüber diskutieren, will eure meinung wissen, aber auch warnen ...

cad · 16.12.2006, 20:40

Zitat:

Zitat von riC

was sagt ihr dazu, einige kollegen von mir haben den link geöffnet ...
(link zensiert - anstelle der **** stehen eigentlich 4 zahlen )

Klicken, ohne nachzudenken.

GUA · 17.12.2006, 11:59

Zitat:

Zitat von cad

Klicken, ohne nachzudenken...

leider mehren sich die anfragen auf dem board, die das gleiche problem wie der to haben

GUA

Haui45 · 17.12.2006, 14:44

Zitat:

Zitat von riC

was sagt ihr dazu, einige kollegen von mir haben den link geöffnet ...

Was soll man dazu groß sagen, außer dass betroffene System neu aufgesetzt werden sollten...

Code:

ATTFilter

File: picture.pif
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
MD5 46cb99fbb8844d0010e2f6d05866cf05
Packers detected: PE_PATCH.UPX, UPX

Scanner results
AntiVir Found WORM/Stration.Gen
ArcaVir Found Worm.Warezov.Fh
Avast Found Win32:Warezov-ACI
AVG Antivirus Found I-Worm/Stration.BLG
BitDefender Found DeepScan:Generic.Stration.0273CA93
ClamAV Found nothing
Dr.Web Found Win32.HLLM.Limar
F-Prot Antivirus Found W32/Warezov.gen4
F-Secure Anti-Virus Found nothing
Fortinet Found W32/Stration.ET@mm
Kaspersky Anti-Virus Found Email-Worm.Win32.Warezov.et
NOD32 Found Win32/Stration.TX
Norman Virus Control Found Sandbox: W32/Malware;
[ General information ]

* Decompressing UPX.
* Creating several executable files on hard-drive.
* File length: 64512 bytes.

[ Changes to filesystem ]
* Creates file C:\windows\system32\mspradme.exe.
* Creates file C:\WINDOWS\SYSTEM32\vb5dmspo.dll.
* Creates file C:\WINDOWS\SYSTEM32\rdpwmsjt.exe.
* Creates file C:\WINDOWS\SYSTEM32\mcd3mscm.dll.
* Creates file C:\WINDOWS\SYSTEM32\e1.dll.

[ Changes to registry ]
* Creates value "mspradme"="c:\windows\system32\mspradme.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run".

[ Changes to system settings ]
* Creates WindowsHook monitoring cbt activity.

[ Process/window information ]
* Creates an event called ZAAllowEvent.
* Creates an event called SGAllowEvent.
* Creates an event called NISAllowEvent.
* Creates an event called OPAllowEvent.
* Creates an event called MAAllowEvent2.
* Attempts to access service "vsmon".
* Creates an event called ActiveZA.
* Attempts to access service "SmcService".
* Creates an event called ActiveSG.
* Attempts to access service "wscsvc".
* Attempts to access service "SharedAccess".
* Attempts to access service "Symantec Core LC".
* Creates an event called ActiveNIS.
* Attempts to access service "OutpostFirewall".
* Creates an event called ActiveOP.
* Attempts to access service "MpfService".
* Creates an event called ActiveMA.
* Attempts to access service "WinRoute".
* Will automatically restart after boot (I'll be back...).
* Enumerates running processes.
* Modifies other process memory.
* Creates a remote thread.

VirusBuster Found Trojan.Opnis.Gen.29
VBA32 Found MalwareScope.Worm.Warezov.1

Vorbeugung: Gesunder Menschenverstand.

Übrigens: Standardmäßig wird die Dateiendung "pif" unter Windows (nur XP?) nicht angezeigt, selbst wenn im Explorer die Einstellung "Erweiterungen bei bekannten Dateitypen ausblenden" deaktiviert wurde. Abhilfe: In der Registry unter HKEY_CLASSES_ROOT\piffile den Eintrag NeverShowExt löschen.

cad · 17.12.2006, 17:24

Zitat:

Zitat von GUA

leider mehren sich die anfragen auf dem board, die das gleiche problem wie der to haben

GUA

Deswegen habe ich nachgefragt

Zitat:

Zitat von cad

Möchtest Du darüber diskutieren oder hast das falsche Forum erwischt?

Gruß cad

riC · 17.12.2006, 20:10

Zitat:

Zitat von GUA

leider mehren sich die anfragen auf dem board, die das gleiche problem wie der to haben

GUA

mmh ich hab des problem ja net ...

Yopie · 17.12.2006, 20:15

Zitat:

Zitat von riC

mmh ich hab des problem ja net ...

Tja, das wird bestimmt 'ne interessante Diskussion.

Gruß

Yopie

my_confession · 17.12.2006, 21:50

tja..was nur wenn man so nen link nicht anklickt und der link in meinem namen versendet wird...ich geh vorsichtshalber in deckung, falls diese aussage eurer meinung nach <<sinnlos>> sein sollte

.. nur wie soll ich mir das ding ohne link-anklicken zugezogen haben?! http://www.trojaner-board.de/22799-icq-graue-blume.html

cad · 19.12.2006, 09:44

Oktober
November

Email geöffnet? Falsche Seite angesurft?

Franken Andi · 22.12.2006, 11:38

Hi zusammen,

Erfahrungsbericht meinerseits:

Ich bin auch einer der dummen gewesen der der Neugier verfallen ist und den Link angeklickt hat, mein Gott passiert halt mal

Nungut, umgehend hat AVG Alarm geschlagen und ich wusste somit auch schon Bescheid dass was im argen liegt.
Hab das Virenprogramm einen kompletten Scan machen lassen und der Wurm wurde "geheilt" und dann "gelöscht" (healed and deleted)

Hab AVG danach noch 2 mal laufen lassen und es wurde keine Spuren mehr von dem Wurm gefunden.

Gut ich bin jetzt was Viren angeht ein Laie, wäre aber schön wenn ich jetzt auf meinen Bericht hier keine Antwort in Form von :

"Der wurm wird halt nicht mehr angezeigt aber er ist immer noch da"

bekomme.

Jedenfalls läuft mein System weiterhin tadellos, keine Einschränkungen in der Geschwindigkeit, Auslastung verhält sich auch normal, Dateien sind auch noch alle da. Ich für mein Teil denke mal dass ich den Wurm besiegt habe

oder was sagt ihr dazu ?

Gruß
Die Frankensau

Haui45 · 22.12.2006, 12:45

Zitat:

Zitat von Franken Andi

oder was sagt ihr dazu ?

Möglich, dass du den Wurm + zusätzliche Malware entfernt hast, sicher kannst du dir nicht sein. -> http://faq.jors.net/virus

Mad-Line · 25.12.2006, 12:53

Der ICQ Wurm verschickt neue Massages

Hi, you’ve just received a postcard.To view the postcard click this link or copy it to your browser’s address bar.//cards.chitionkerunjedas.com/1/show.xml?id=c3a16765e29061df81b9e5c458caf30dThe postcard will be kept for 10 weeks.

Hilfe zum entfernen ICQ Wurm 2006 Hilfe - hier !! -

nicht alle beschrieben dateien sind vorhanden.

dieses scheind aber zuklappen:
Gehe links unten auf START, dann auf AUSFÜHREN und gebe folgendes ein: "MSCONFIG".
Im sich nun öffnenden Fenster, auf den Reiter SYSTEMSTART wechseln und den Eintrag
"C:\WINDOWS\wupd32.exe s" suchen!
Falls vorhanden (möglicherweise auch in leicht abgewandelter Form?),
den Haken vor diesem Eintrag entfernen!
Nun den PC neu starten!

16.12.2006, 20:29	#2
cad /// caddy ☀	ICQ Virus/Trojaner Möchtest Du darüber diskutieren oder hast das falsche Forum erwischt? __________________ __________________

19.12.2006, 09:44	#11
cad /// caddy ☀	ICQ Virus/Trojaner Oktober November Email geöffnet? Falsche Seite angesurft? __________________ Investiere keine Zeit in Jemand oder eine Sache, für die/den du oder die für dich nur eine Option unter Vielen ist Jede Hilfestellung erfolgt ohne Gewähr und Haftung >Wenn Du das Forum unterstützen möchtest<

ICQ Virus/Trojaner

Diskussionsforum: ICQ Virus/Trojaner