das ist zwar alles schön und gut was auf gulli steht (leicht zwiespältig das ganze) fakt ist allerdings dass in dem auf gulli beschriebenem programm von einem link gesprochen wird, und der hier behandelte wurm, trojaner, backdoor oder als was auch immer man es bezeichnen will den kontakten in der kontaktliste eine oder mehrere messages schreibt die die "opfer" dazu anregen sollen die darauf folgende datei anzunehmen und zu öffnen.

Zitat:

Zitat von Huhn

das ist zwar alles schön und gut was auf gulli steht (leicht zwiespältig das ganze) fakt ist allerdings dass in dem auf gulli beschriebenem programm von einem link gesprochen wird, und der hier behandelte wurm, trojaner, backdoor oder als was auch immer man es bezeichnen will den kontakten in der kontaktliste eine oder mehrere messages schreibt die die "opfer" dazu anregen sollen die darauf folgende datei anzunehmen und zu öffnen.

Außerdem, nur der guten Ordnung halber, der Beitrag im Board Gulli ist vom 13.Februar 2007, also von der ersten MSN-Attacke.

Zitat:

Zitat von [Gc]Sunny

Außerdem, nur der guten Ordnung halber, der Beitrag im Board Gulli ist vom 13.Februar 2007, also von der ersten MSN-Attacke.

richtig
um mal zu meiner frage zurückzukommen..bilde ich mir das ein oder is im moment tatsächlich irgendwie virus hochkonjunktur?

Zitat:

Zitat von Huhn

richtig
um mal zu meiner frage zurückzukommen..bilde ich mir das ein oder is im moment tatsächlich irgendwie virus hochkonjunktur?

Als Hochkonjuktur würde ich das momentan nicht bezeichnen, auch die weltweit aktuellen Sicherheitsstufen liegen alle bei "niedrig".

Mal abgesehen vom MSN-WURM sind die Botmaster produktiv wie immer. Ein ganz normaler Vorgang in der Ferienzeit...

ahja..nagut. ^^
ich hab mir mal die Freiheit genommen ein bisschen zu stöbern.
also hier mal an alle die schnell ne lösung brauchen, rein theoretisch sollte alles funktionieren, praktisch weiss ich es leider (glücklicherweise?!) nicht.

Da man nicht weiss, ob der Wurm resistent ist zuerst mal die Systemwiederherstellung abschalten.
Danach PC Neu starten und beim hochfahren in den abgesicherten Modus wechseln, das schafft man indem man vor dem Ladescreen von WinXP die Taste F8 Drückt.
Dort angekommen folgende Dateien in dieser Reihenfolge löschen:

[1]..\user\new.txt (z.b. C:\Dokumente und Einstellungen\Blah\)
[2]..\Windows\myalbum2007.zip -> Papierkorb leeren
[3]..\Windows\System\sysprinters.dll, falls nicht Vorhanden, ..\Windows\System32 -> Papierkorb leeren (bei dieser Datei vorsichtshalber aufs änderungsdatum gucken)

[4]Regedit öffnen

[5]zu HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad system32 Navigieren,

[6]Wert B0F684D7-B19D-47B2-BD49-F77F13EB482A Löschen

[7]zu HKCR\CLSID\ navigieren,

[8]Wert B0F684D7-B19D-47B2-BD49-F77F13EB482A Löschen

[9]Computer Neu Starten, diesmal nicht im abgesicherten Modus, und Systemwiederherstellung wieder Aktivieren.

Falls selbst im abgesicherten Modus Schritt [3] nicht funktionieren Sollte,
Start -> Ausführen -> Services.msc

Service (zeichenfolge)B0F684D7-B19D-47B2-BD49-F77F13EB482A(zeichenfolge)
Stoppen und auf deaktivieren setzen.

dann schritt [3] Wiederholen und weitermachen wie beschrieben.


Sollte es dann immernoch nicht funktionieren, und euch liegt nur ein fünkchen an euren email Accounts, Passwörtern und eurer mitmenschen sowie der Intigrität eures Systems und der Sicherheit dass ihr nicht beispielsweise fotografiert werdet (wie damals in sub7-zeiten) und euer gesamter Computerinhalt sichtbar und zugänglich ist, solltet ihr in Betracht ziehen ein ordentliches Backup eurer wichtigen Daten zu machen, und das System neu aufzusetzen.

Diese Anleitung ist in meinen Augen totaler Müll..

Ich weiß aber wo du die her hast , frag doch mal der Freundlichkeit halber nach was mit den anderen Dateien ist welche vom Trojaner übertragen werden:

Zitat:

"retadpu420.exe"
"winpop.exe"
sysconf16.dll

Und das alles mit stetig wechselnden CLSID:

Zitat:

{58CD8F5C-BB95-AE2D-FCA7-5E8F97DAB0C9}
{64B921EE-74F8-8639-38AB-2FF2AC2AC3BC}
{515438EC-795A-60D1-79F9-D710B421C483}
{E5BD9617-6360-67AE-AF9A-EF241AE8A76B}
{EB7B5F1D-4EC3-28F0-FF1E-9FCC69EEE91D}
{0F655F11-3654-9518-CDEE-23AF39CB1D11}
{F8EBE663-A292-0D67-C144-9849CF406053}
{C883656D-6973-21BE-B47F-402C924E8A90}
{844B9C6A-0ED9-F5C7-41BF-32EF62109B29}
{3FC3D9E7-B244-7602-861E-220C3B36560E}
{44F1F2D8-B7F5-3279-1487-DA1331E3FBD9}
{6D21F239-7EC0-7CAD-1698-B8C08244E809}
{0F166D86-A1A3-4C40-177A-AA34F7E6C5F7}
{DA8E7613-985A-940B-F859-139E40F3F57E}
{FD37C5A6-2443-ACBD-DBE9-16ED86E7A4AE}
{FD413C1A-19B7-B8D3-36C8-24FE8B482668}
{5F0D19DC-BB44-BCE9-C644-E76235943A5C}
{C64A12B0-F103-3DCF-B6AB-23C7E030CC2E}
{2FB210BF-33C2-9DDF-17DA-5C2B8B208A27}
{5CC38E4F-8D9B-C137-CDF3-E99DCF2E2ACF}
{B358CFF9-EF3E-E412-00C6-0FAA87CD74B6}
{2C84049E-94CD-7C70-AF11-157A58B5AF0E}
{F236706D-4ED9-E4B5-4C08-D0A19CF4A2F3}
{59189F00-CFA4-BD19-127F-41A470CE76AF}
{B0E87B64-249E-1308-D3BF-A1C4F0B9ECA8}
{771FB908-57EE-6311-D28F-60266F76E9C2}
{FB714370-6273-8482-67C6-F84891F14680}
{D0758F3E-AF63-5B16-404D-C89D9EB3F467}
{C92CE5E7-2BC2-B83F-2B66-CCC057F8F114}
{75194083-A7D1-998A-F8D2-9B5D35A2A614}
{D9DDAB01-603D-D697-CA6E-A730CB57A1CA}
{D1088E29-2715-95E3-0D58-6DD031128B2A}
{A62F0D15-C11A-2E75-0AFF-C2A9CB624577}
{24A466C6-6D3A-F8EF-1A04-6880AAE04FB6}
{3A54FE44-525B-7FA1-A094-13AB83936683}
{C72EE223-0D2D-8AE9-C176-BAA0A2865FF3}
{82A2572B-3CF9-AD83-1759-C7750932552B}
{A0EFD0A0-DD2D-9D2B-0C1E-EF8F9ECA476C}
{EE6DFE53-0B32-2077-3CE7-7B5D70DAF8CE}
{F4405FD6-69C6-204B-9C18-D19F8B838023}
{C4A5F706-548F-2724-DA0A-62CF3175141B}
{A0E28250-2E9E-4275-CAEC-B1C5CD8DC8A9}
{C148F6E6-2829-A5C7-6ADB-BB574D41CCC6}
{A0C11525-6C6C-8D6E-342F-4EBBC2B6FDAF}
{A2C56517-1286-1C79-B84C-CFDB9875AFE4}
{4AF3745D-CBAD-30F2-E44D-DF390C2DB9A5}
{5C2F70C3-D50C-76CE-EDF5-C9CA7866087C}
{D672FDE3-883E-D80F-5A21-E0FDA41F6ACF}
{03BA8832-9504-FD03-932F-40A2299EEA20}
{68A6AA0C-794A-DFB5-9D54-B64F179B3E9D}
{0A85754A-17D2-DB18-BBE5-8FB38A6A6636}
{934185F3-7C07-8D76-3E51-48586AC9251E}
{B4EABC96-C93D-6C81-AFF4-CAFCB9575CBE}
{62692B74-F597-D978-A42D-A0AF041F3095}
{56C8CD78-62F1-0EFB-0D9E-4312481884A8}
{B65634EB-F000-F1B1-7F18-CC702686F8E7}
{4224B27F-5B1C-0965-3B49-01AF5AFD8EC5}
{B65634EB-F000-F1B1-7F18-CC702686F8E7}
{EBDB261B-4FF0-E2E6-9793-50FA5CAB2E33}
{6B88F7C3-BC49-871D-54C7-FE281D78D95E}
{FBCF2CAF-50A4-A3CB-5986-A0BB071038AD}
{7D0B1BEC-C2A1-300B-D167-2EAEC7F4A0D7}
{38A48D96-9192-E53E-8D2D-A92CACC118B2}
{3A022988-1B69-563F-761F-0892BA79BBD1}

Also immer schön ruhig bleiben, das einzige was momentan zählt ist und bleibt die Neuinstallation des OS.

ok JETZT krieg ich's fressbrett nimmer zu.
dachte das wär so ne kindergeschichte aber das scheint ja doch schlauer zu sein als man eigentlich dachte..^^ naja hoffen wir einfach mal dass die ganzen msn leutz nich einfach blind jeden scheiss annehmen und sie nicht allzugroße kontaktlisten haben.

Tach auch

Klingt ja mal wieder eindeutig nach einem fall für eingeschränkte Benutzerrechte .
An alle die betroffen sind,
mich würde mal interessieren ob ihr euch den Wurm mit administrator Rechten oder mit eingeschränkten rechten eingefangen habt ???

MIch hats auch erwischt nachdem am gestrigen Tage von einem Freund ein ordner geschickt wurde (ohne sein wissen ) und ich doch neugierig war was er mir so für Fotos schickt, nunja nun habe ich mit dem ghost.exe zu kämpfen

sysprinters.dll hab ich gelöscht auch so lösche ich ständig die install Datei.
Es kommt aber immer alles wieder.
Nun habe ich Avast wieder drüber laufen, nun findet er den Ghost nicht mehr dafür was anderes.

HEEEELP!
Was kann ich nochmachen ausser Neu installieren??



lg

Zitat:

Zitat von Eeyore

HEEEELP!
Was kann ich nochmachen ausser Neu installieren??

Dies ist ein Diskussions-Thread und keine "Hilfe-Thread"..außerdem solltest du wissen, sofern du aufmerksam den Beitrag verfolgt hast, wie nun zu verfahren ist/wäre.

Also..XP-CD heraus und das System neu aufgespielt.

Und nein, es gibt momentan noch keine andere Lösung.

So wie ich des bei meinem Antivirscan programm (Virus information) gesehen hab, waren innerhalb 2Monate
1. Worm/Zafi.B Worm 28 Jun 2007
2. TR/Dldr.FakeAV.A.3 Trojan 28 Jun 2007
3. TR/Dldr.Nurech.Gen Trojan 28 Jun 2007
4. JS/Small.DN Malware 22 Jun 2007
5. TR/Dldr.Small.ddp.28 Trojan 21 Jun 2007
6. TR/Hijacker.Gen Trojan 19 Jun 2007
7. TR/Spy.Gen Trojan 19 Jun 2007
8. TR/Dropper.Gen Trojan 19 Jun 2007
9. TR/Crypt.Morphine.Gen Trojan 19 Jun 2007
10. TR/Dldr.Agent.11776 Trojan 19 Jun 2007
11. Raiffeisen Bank 1 Phishing 31 May 2007
12. TR/Dldr.iBill.AR Trojan 31 May 2007
13. VBS/IETitle.A VBS script virus 31 May 2007
14. TR/Dldr.Delf.ble Trojan 30 May 2007
15. DR/Dldr.Delf.ble.1 Dropper 30 May 2007
16. DR/Dldr.Delf.ble Dropper 30 May 2007
17. Arizona Federal Credit Union 3 Phishing 30 May 2007
18. TR/Dldr.Bagle.BV.852 Trojan 29 May 2007
19. TR/Dldr.Small.ekz Trojan 28 May 2007
20. Posteitaliane 21 Phishing 24 May 2007
21. Worm/RBot.Mirco.bng Worm 24 May 2007
22. TR/Dldr.Obfuscatd.BK Trojan 24 May 2007
23. DIAL/Generic Dialer 23 May 2007
24. Postbank.nl 1 Phishing 20 May 2007
25. TCF Bank 5 Phishing 17 May 2007
26. TR/PWS.Sinowal.Gen Trojan 16 May 2007
27. Worm/BackNine Worm 15 May 2007
28. TR/Dldr.Swizzor.DV Trojan 15 May 2007
29. Worm/TermX.A Worm 14 May 2007
30. Posteitaliane 17 Phishing 12 May 2007
31. TR/PSW.QQPass.WM.5 Trojan 11 May 2007
32. Worm/Rjump.E Worm 08 May 2007
33. Worm/Sober.AB Worm 04 May 2007
34. TR/Agent.40448 Trojan 02 May 2007
35. TR/Crypt.CFI.Gen Trojan 02 May 2007
36. Banca Sanpaolo 1 Phishing 01 May 2007
37. TR/Click.Agent.JH.4 Trojan 30 Apr 2007
38. TR/Dldr.PurityScan.EE Trojan 30 Apr 2007
39. TR/Dldr.iBill.AK Trojan 28 Apr 2007
40. VBS/Sasan.A.2 VBS script virus 27 Apr 2007

unterwegs.

Zitat:

Zitat von Eeyore

Nun habe ich Avast wieder drüber laufen, nun findet er den Ghost nicht mehr dafür was anderes.

oh bitte, bitte nicht so präzise..

Ich habe den Thread verfolgt bin aber auch kein Computergenie.
Dinge die ich machen konnte habe ich gemacht, aber hat scheinbar nichts genutzt.
Es kann nicht jeder alles verstehen oder ist frei von Fehlern, eine Frau schon gar nicht.
Sorry für den falschen Thread, wusste eben nicht recht wohin.

Hey Hou.

Aaalso, ich hab nicht viel Ahnung von Virenscannern, dem Aufbau des System und so weiter, ich werde nicht oft von Viren attackiert. Aber wie auch viele andere war ich wohl diesmal etwas... unklug in meiner Handlungsweise.

Jedenfalls habe ich das Viech mir ebenfalls über MSN eingefangen, von einer Freundin und festgestellt, dass ich deshalb nicht unbedingt direkt den Rechner neu aufsetzen will. Die Freundin von der ich mir das Teil eingefangen habe, fragte mich, was sie dagegen tun kann.

Ich habe eben, wie ichs immer tue, wenn sich was auf meinem Rechner installiert hat, was ich nicht wirklich haben will, einfach gesagt, sie soll ne Systemwiederherstellung auf ein früheres Datum machen. Und scheinbar hats geklappt. Sie hat keine Probleme mehr. Ich habs auch versucht. Und hatte auch keine Probleme mehr mit dem Virus.

Ich kann nicht sagen ob das so einfach ist und ob man danach wirklich Virenfrei ist, aber meine Scanner haben derzeit nichts mehr gefunden. Dummerweise hat ich dann wieder ein anderes Problem mit meinem System, musste die Wiederherstellung Rückgängig machen und habe den Virus nun wieder.

Wie gesagt, ich hab keine Ahnung ob das klappen kann, aber irgendwer, der viel Ahnung davon hat und immer noch Problemchen mit dem Virus schiebt, kann das ja mal versuchen und mir sagen ob der dann weg ist. Also wenn irgendein Virenscanner das sagen kann ob der weg ist. Meine drei könnens irgendwie nicht oder ich bin nicht in der Lage das zu lesen, was die mir da geben.

Grüße, der Keks

Ach und - tut mir Leid wenn der Thread falsch gewählt ist oder irgendjemand was gegen diese Aussage hat o_O Ich bin hilflos und verzweifelt... Aber ich mach jetz noch mal Systemwiederherstellung =D

Mwhar... Kurzer Edit: Systemwiederherstellung irgendwie kaputt gegangen. Also mittlerweile geht das bei mir nicht mehr.

Auch hier nochmal:

-Wenn ihr mit dem Wurm infiziert seid dann werdet ihr ihn nicht wieder los!

+Auch wenn verschiedenste AntiProgramme etwas anderes behaupten verankert sich der Schädling durch seine BackdoorQualitäten so fest in eurem System, das ihn NIEMAND finden kann. Erst recht kein AV-Prog.

Es verhält sich stark vereinfacht etwa so:
Der Wurm verschickt sich selbst an alle MSN Kontakte. Wird er ausgeführt verankert er sich zu erst selbst im System (dieser kann noch gefunden und desinfiziert werden). Dann öffnet er Hintertüren wodurch sein Schöpfer Zugriff auf euren PC bekommt und neue Schädlinge versteckt, weitere Türen öffnet, Daten stielt oder weiss der Geier wat..(Diese System-Veränderungen können ohne Prüfsumme nicht nachfollzogen werden was eine Bereinigung UNMÖGLICH macht!)

-Solltet ihr also infiziert worden sein so ist euer System kompromitiert! Auch wenn tausend AntiProgs das Gegenteil behaupten und auch ihr keine Veränderungen sprürt. Der Hacker hat vollen Zugriff auf euer System und damit auf eure Privatsphäre!

=>Setzt euren Rechner neu auf!

hoffentlich verständlichen Gruß

Undoreal