MSN-Wurm macht die Runde
 

Heise meldet:MSN-Wurm macht die Runde

Hier im Forum ist der Miesling ja auch schon mehr als häufig aufgeschlagen.

Asuzug aus der Meldung:
Bevor nicht das genaue Schadpotential bekannt ist, muss vom Worst Case ausgegangen werden. Für die Betroffenen bedeutet dies: Sicherheit kann es nur durch Formatieren und Neuaufsetzen geben, dabei sollte die Anleitung dringend und genau beachtet werden.

Bitte diesen Thread ausschließlich für neue Erkenntnisse zum Schädling nutzen; ausdrücklich nicht erwünscht sind Anfragen wie "Bin ich auch betroffen?" oder "Was soll ich jetzt bloss machen?"!

Gruß :daumenhoc
Yopie

Wurde der Wurm mit einem eingeschränkten Benutzerkonto empfangen, kann der Worst Case natürlich nicht eintreten. Ob der Wurm dann überhaupt Schaden (in den Daten des Benutzers) anrichten kann, kann ich nicht beurteilen, Systemdateien sind jedenfalls in dem Fall nicht bedroht.

Gruß :daumenhoc
Yopie

Joa, also ich sag nur
> implus.exe <
einfach MSN beenden und den Prozess beenden.

Dann im Verzeichnis "x:\programme\msn messenger" -> "implus.exe" löschen

fertig.

Dann nur noch neustarten und MSN starten:aplaus:

Also könnte mir jemand helfen bei mir kommt immer eine Nachricht vom msn messenger das die probeversion der emoticons abgelaufen ist und ich soll mich anmelden was ich aber nicht will.Nach dem ich diese dateien gelöscht habe kommt die nachricht jetzt tausend mal in der stunde.
ich bitte um hilfe da ich mich bei hijack gar nicht auskenne.

[EDIT:] /

Was genau hast du an nicht verstanden?

Also: neuen Thread aufmachen, dort dein Problem ausführlich schildern, und ein komplettes Logfile posten.

Gruß
Yopie

Guten Morgen....


Ich kann mich irren, aber es scheint ein neuer Angriff des MSN-WURM unterwegs zu sein!

Wiedereinmal die alte Masche:

Wie der Wurm arbeitet bzw. welche Veränderungen er am System vornimmt sind noch unbekannt. Bislang habe ich nur eine schädliche Datei ausmachen können:

Alles weitere wird sich aber zeigen wie eine Bereinigung oder Formatierung des Systems vorzunehmen ist!

Gruß
Sunny

Hab dasselbe Problem...

Man ist das belastend. WAS kann man denn dagegen tun? Wenigstens so, dass kurzfristig nix mehr passiert.

Upps, sprry was schiefgelaufen :S...

@Sunny: diese sysprinters.dll löschen oder was damit tun?

Moin auch

wenn es sich bei der Datei zum Download um ...photoalbum-2007.rar...
handelt
und diese ausgeführt wurde,
kann ich nur empfehlen den Rechner nach dieser Anleitung --> Neuaufsetzen des Systems und anschliessende Absicherung!
neu auf zu setzen.

Die Onlineauswertung bei Virustotal hat u.a. ergeben :

AhnLab-V3 2007.6.30.0 06.29.2007 no virus found
AntiVir 7.4.0.37 06.29.2007 no virus found
Authentium 4.93.8 06.29.2007 no virus found
Avast 4.7.997.0 07.01.2007 no virus found
AVG 7.5.0.476 06.30.2007 no virus found
BitDefender 7.2 07.01.2007 DeepScan:Generic.Dropper.Delf.DBEEE130
CAT-QuickHeal 9.00 06.30.2007 no virus found
ClamAV devel-20070416 07.01.2007 no virus found
DrWeb 4.33 07.01.2007 Trojan.MulDrop.7373
eSafe 7.0.15.0 06.30.2007 no virus found
eTrust-Vet 30.8.3752 06.29.2007 no virus found
Ewido 4.0 07.01.2007 Backdoor.IRCBot.acd
FileAdvisor 1 07.01.2007 no virus found
Fortinet 2.91.0.0 07.01.2007 no virus found
F-Prot 4.3.2.48 06.29.2007 no virus found
F-Secure 6.70.13030.0 06.29.2007 no virus found
Ikarus T3.1.1.8 07.01.2007 Generic.Dropper.Delf
Kaspersky 4.0.2.24 07.01.2007 Backdoor.Win32.IRCBot.acd
McAfee 5064 06.29.2007 no virus found
Microsoft 1.2701 07.01.2007 no virus found
NOD32v2 2366 07.01.2007 no virus found
Norman 5.80.02 06.29.2007 no virus found
Panda 9.0.0.4 07.01.2007 no virus found
Sophos 4.19.0 06.28.2007 no virus found
Sunbelt 2.2.907.0 06.29.2007 no virus found
Symantec 10 07.01.2007 no virus found
TheHacker 6.1.6.140 06.28.2007 no virus found
VBA32 3.12.0.2 06.30.2007 no virus found
VirusBuster 4.3.23:9 06.30.2007 no virus found
Webwasher-Gateway 6.0.1 06.29.2007 Win32.Malware.gen (suspicious)

Aditional Information
File size: 33496 bytes
MD5: 20b654b81e9df1e4a377ee234b9305c0
SHA1: 4e88a19840848804d1c80faec06344560631ec3c

in einem anderen Board wurde freundlicherweise direkt auf diese Datei verlinkt:headbang:

MFG

@nochdigger

Ist das auch die neuste Datei, bzw. was ist mit der sysprinters.dll welche auf allen Systemen bislang zusätzlich gefunden wurde?
Hat das andere Board diesbezüglich auch etwas geschrieben? :confused:

Habe leider keinen MSN, sonst würde ich selbst mal testen.. ;)

Moin Sunny,

ich habe sie mir nicht installiert:rolleyes: nur bei Virustotal durchlaufen lassen,
darum hab ich ja auch den Namen der Datei genannt.
Der Betroffene aus dem anderen Board hatte gestern Abend einen Link über MSN von seiner Schwester bekommen und die Datei ausgeführt, jetzt sagte er verschicke er den Link zur Datei unfreiwillig.
(habe den Namen der Seite extra rauseditiert, kann aber nachgereicht werden)

MFG

Hallo liebes Forum,

da ich das selbe Problem habe wollte ich mich hier mal zu Wort melden.
Ich habe vor ca. 3 Stunden die gleiche Datei per MSN erhalten und dumm wie ich bin einfach geöffnet. Es handelte sich um die Datei "MyAlbum2007.zip.
Nun hat mein Avast-Scanner zwei Trojaner andauernt am Wickel.
Erst meldet sich immer C:\install\ghost.exe und soll angeblich eine Probe des Trojanischen Pferdes von "Win32:ISTBAR-AU2" enthalten. Nach dem löschen des Trojaners durch Avast kommt erstmal ein neues Fenster "Could not Found Fehlercode: 53"(oder so ähnlich). Kurz darauf erscheint eine neue Trojanerwarnung aber diemal handelt es sich um "Win32:Agent-HKJ [Trj]".
Sitzen tut der in "C:\Windows\retadpu420.exe\[UPX]"
Egal wie oft man diese beiden Trojaner löscht sie erscheinen immer wiede neu.
Oderner C:\install\... entsthet auch immer wieder neu.

PS: Im Verlauf der Zeit als ich diesen Text geschrieben habe kam ein dritter Trojaner hinzu: "Win32:Trojan-gen. {UPX!}" Ort:"C:\Users\Der_Freak\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\7CG1E3RB\istdownload[1].exe"

Ich wollte nur mal etwas Infos hier fallen lassen damit irgendjemand sich vielleicht der Sache annhemen kann. Ich werde definitiv mein Pc wieder Platt machen.

Hier mein Log:
Logfile of HijackThis v1.99.1
Scan saved at 14:51:58, on 01.07.2007
Platform: Unknown Windows (WinNT 6.00.1904) -> Windows Vista Ultimate x64 alle Updates
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\Program Files (x86)\Common Files\Acronis\Schedule2\schedhlp.exe
F:\Programme\Avast\ashDisp.exe
C:\Windows\SysWOW64\CTHELPER.EXE
C:\Windows\SysWOW64\CTXFIHLP.EXE
C:\Program Files (x86)\Analog Devices\Core\smax4pnp.exe
C:\Program Files (x86)\Common Files\LogiShrd\LComMgr\Communications_Helper.exe
C:\Program Files (x86)\Logitech\QuickCam10\QuickCam10.exe
F:\Programme\Acronis Vista\TrueImageMonitor.exe
F:\Programme\Acronis Vista\TimounterMonitor.exe
C:\Program Files (x86)\Common Files\Real\Update_OB\realsched.exe
C:\Windows\SysWOW64\CTXFISPI.EXE
F:\Programme\Logitech G7 Vista\SetPoint\x86\SetPoint32.exe
C:\Program Files (x86)\Common Files\Logishrd\LQCVFX\COCIManager.exe
C:\Program Files (x86)\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Windows\SysWOW64\explorer.exe
F:\Programme\Trillian Vista\trillian.exe
C:\Windows\SysWOW64\gsompl.exe
C:\Windows\SysWOW64\wmwkqt.exe
C:\Windows\SysWOW64\cdtgna.exe
C:\Windows\SysWOW64\havtox.exe
C:\Windows\SysWOW64\rubstv.exe
F:\PROGRA~1\FREEDO~1\fdm.exe
C:\Windows\SysWOW64\blyarv.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Windows\SysWOW64\gouhfc.exe
F:\Programme\Office 2003 Vista\OFFICE11\OUTLOOK.EXE
F:\Programme\Office 2003 Vista\OFFICE11\WINWORD.EXE
C:\Windows\SysWOW64\ldmiyt.exe
C:\Windows\SysWOW64\ythkgb.exe
C:\install\ghost.exe
C:\Windows\SysWOW64\msponn.exe
F:\Downloads Vista\HiJackThis\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = CURSE GANGSTA RAP
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - F:\Programme\Free Download Manager Vista\iefdmcks.dll
O4 - HKLM\..\Run: [avast!] F:\PROGRA~1\Avast\ashDisp.exe
O4 - HKLM\..\Run: [AsioThk32Reg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files (x86)\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files (x86)\Common Files\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files (x86)\Logitech\QuickCam10\QuickCam10.exe" /hide
O4 - HKLM\..\Run: [DAEMON Tools] "F:\Programme\DAEMON Tools Vista\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [TrueImageMonitor.exe] F:\Programme\Acronis Vista\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] F:\Programme\Acronis Vista\TimounterMonitor.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files (x86)\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ccleaner] "F:\Programme\CCleaner Vista\CCleaner\ccleaner.exe" /AUTO
O4 - Global Startup: Logitech SetPoint.lnk = ?
O8 - Extra context menu item: Alles mit FDM herunterladen - file://F:\Programme\Free Download Manager Vista\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://F:\Programme\Free Download Manager Vista\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://F:\Programme\Free Download Manager Vista\dllink.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\OFFICE~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\PROGRA~1\OFFICE~1\OFFICE11\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32\nlaapi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\napinsp.dll
O11 - Options group: [INTERNATIONAL] International*
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O21 - SSODL: system32 - {E78F46B0-3926-482B-AE13-1CD3B3C0B7A7} - sysprinters.dll (file missing)
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files (x86)\Common Files\Acronis\Schedule2\schedul2.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - F:\Programme\Avast\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - F:\Programme\Avast\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - F:\Programme\Avast\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - F:\Programme\Avast\ashWebSv.exe" /service (file missing)
O23 - Service: Creative Audio Pack Licensing Service - Creative Labs - C:\Program Files (x86)\Common Files\Creative Labs Shared\Service\APLicensing.exe
O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)
O23 - Service: @%SystemRoot%\ehome\ehstart.dll,-101 (ehstart) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files (x86)\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: LVCOMSer - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVCSer64.exe
O23 - Service: Process Monitor (LVPrcS64) - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: O&O Defrag - Unknown owner - C:\Windows\system32\oodag.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\Windows\system32\PnkBstrB.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)

@Der_Freak: Was soll das? Was hat Yopie denn geschrieben?

Ich wollte nur schildern was für ein Weg der Trojaner bzw. dieser MSN-Angriff hinterlässt und somit nur evtl. helfen und nicht irgendjemanden mein Problem um die Ohren hauen. :heilig:

Okay :party: Das klang aber so nach einem Hilfeschrei :rolleyes:

Oh mann, genau das ist mir heute passiert.

Mir wurde von einer Freundin ein Archiv geschickt (Myalbum.zip).
Ich hab dieses entpackt. Nichts passierte.

Als ich dann neustartet waren alle dateizuweisungen weg.
Alle shortcuts auf dem desktop enden jetzt mit .lnk und keine datei laesst sich mehr oeffnen. Es fehlt eine Dateizuweisung.

Und mein Pc will sich zur Seite:"www.free4people.com" verbinden...

Mein problem ist das ich morgen eine semesterpruefung hab und meine Entwicklungsumgebung nicht starten kann :(

Hat jemand einen schnellen rat?

*seufz*

:(

ich weiß wie ich den pc sauber neu aufspielen kann.

Jedoch moechte ich einfach nur die sachen fuer eine woche zu laufen kriegen, die pruefungen durchziehen und mich DANN darum kuemmer
sorry wenn mein problem nervt :(

Hi,

Neuinstallation des Betriebssystems und der benötigten Entwicklungsumgebung solltest Du heute Abend noch locker schaffen können. Alles andere hat dann ja Zeit wie Du schreibst.

hab da mal ne frage.

da ich sehr viel bei msn online bin.
habe auch schonmal etwas bekommen von ner bekannten die defenitiv in spannien im urlaub wr und da kein inet zur verfügung hatte :snyper:

kann man den ordner in den msn diese dateien speichert die man bekommt irgendwie in einen "quarantäne-ordner" machen/umwandeln.
so das man eine meldung bekommt und dadurch weiß ob etwas aus diesem ordner rauswill oder etwas passiert.
und evtl. dieses nicht zulassen kann so hat man wenigsten krurzzeitig ruhe.

Ich weigere mich Messenger auf meinem Computer zu betreiben, kenne mich daher kaum mit ihnen aus. Wenn es aber so ist (wie dein Beitrag andeutet), dass die Dateien auf deinem Computer speichern können, ohne dass Du vorher um Erlaubnis gefragt wirst, dann sind sie ein extremes Sicherheitsrisiko. Sowas gehört umgehend vom Computer entfernt.

Also nochmal an alle Hilfesuchenden in diesem Beitrag:


Wer diese DATEI (myalbum2007.zip) gleich gelöscht hat, sollte keinerlei Infektionen zu befürchten haben!


Wer die über den Messenger geschickte DATEI geöffnet haben sollte, muss leider eine Neuinstallation in Kauf nehmen!

Es wurde ein Backdoor-Trojaner von fast allen Antiviren-Scannern erkannt, wo er sich im System einnistet oder welche Veränderungen er am System durchführt sind gänzlich unbekannt.

Kompromittierung = Neuinstallation

Was auf jeden Fall sehr auffällig ist, ist dieser Eintrag im Hijacklog:

In den Beiträgen hier im Forum ist die CLSID immer anders, das deutet auch daraufhin das dieser Trojaner wahrscheinlich immer anders arbeitet und somit erst recht eine Bereinigung ausgeschlossen ist.
(Danke an KarlKarl..ist mir selbst noch nicht aufgefallen. ;) )

Sunny

@karlkarl

nein sie fragen mich schon ob ich speichern möchte

aber so ein wurm arbeitet sich ja durchs system ohne das ich was merke aber wenn der speicherungsordner von msn nun ei quarantäneordner währe dan müste ich doch eine mitteilung bekommen von wegen "blabla myalbum versucht auf c\desktop\eigene dateien zuzugreifen"

so meinte ich das.


killt meine unwissenheit:snyper: :snyper:

Eigentlich sollte er überhaupt nicht auf dem System gespeichert werden. Wenn das aber schon passiert ist, weil Du bei der Nachfrage versehentlich "ja" gewählt hast, hängt das weitere davon ab, ob er gestartet wird. Solange nicht, ist er nur eine abgespeicherte Datei, die beim nächsten Virenscan erkannt und entfernt wird, sobald der Scanner eine entsprechende Signatur hat. Wenn er aber erstmal gestartet ist, dann ist es zu spät, s.o.

Es erschreckt mich, wie naiv viele Leute auf alles klicken, was ihnen mit ein paar netten Worten, die Interesse und Neugier wecken, untergejubelt wird.

Auch wenn Hijackthis behauptet, dass die sysprinters.dll "(file missing)" wäre, ist sie dennoch da. In explorer.exe geladen, offensichtlich zuständig für den Versand des Schädlings, enthält eine Menge Strings in der Art "hmm is this you on the photo ?" in diversen Sprachen und ist am chatten. Oder versucht das, anscheinend haben die Säcke einen zu schwachen Server genommen, der soviel Andrang nicht verkraftet. Meiner hatte jedenfalls große Probleme sich anzumelden und zwischendurch bricht die Verbindung immer wieder wegen Timeout ab.

Hallo,

das gehäufte Auftreten am Sonntag mittag läßt darauf schließen,das die ganzen "Klickfinger" nicht im Biergarten oder beim Baden sind...:)

Ergo ist das Wetter schuld...:pfui:

Ich sehe eine harte Woche kommen....:headbang:
Irrlicht

Oder mit dem Notebook im Biergarten sitzen :D

Bei Regenwetter sollte man nicht nur selber ein "toughes" Gemüt dann haben, man bräuchte dann auch schon ein Toughbook :blabla:

@karlkarl

nein hab daqs nioch nicht bejat

seit alle auf der hut bei icq verkehrt das würmchen auch hab ich von ner bekannten bekommen die nichts wuste als is er es warscheinlich hies auch myalbum.zip

___________________________________
killt meine unwisenheit:snyper: :snyper:

ok, meine freundin war wohl eine der ersten die infiziert wurde.

fakt ist: dieses programm schreibt unterschiedliche sätze die einen dazu ermutigen sollen das archiv anzunehmen.
fakt ist: dieses ist offenbar nicht zwangsweise eine .zip datei.

dessen bin ich mir nicht sicher.
hab das ganze prozedere mit meiner freundin durchgekaut, keine sonderlich verdächtigen prozesse, keine neuen starteinträge in der registry und alle msn messenger relevanten dateien sind in ihrer intigrität.weiter werden auch keine neuen dateien im &SysRoot% + \System32 erstellt.

nachdem ich das gestern alles festgestellt hatte und ihre datei natürlich NICHT angenommen habe, habe ich einfach mal spaßeshalber meinen rechner in den abgesicherten modus geschickt und gescannt, worauf antivir und der security taskmanager auf einmal 2 verdächtige dateien gefunden hat,
zum einen eine svchosl.exe (analyse ergab keylogger eigenschaften und das senden von daten an eine ip 87.xx.xxx.xxx) in ..\System32, die sich jedes mal geschlossen hat wenn ich in besagtes verzeichnis gewechselt bin, und eine explorers.exe die sich problemlos löschen lies.
wie auch immer habe meinen rechner lieber direkt neu aufgesetzt und bin jetzt offenbar wieder frei.
dennoch sollte man vorsichtig sein, ich bin mir nicht sicher ob dieser msn wurm nicht evtl die routine besitzt nur eine datei anzubieten, daraus irgendwie die ip des anderen peers rausbekommt, dann evtl eine DOS attacke oder sonst irgendwas startet um den ein oder anderen prozess einzuschleusen.

WENN ihr eine solche datei namens Mypictures2007 oder Myalbum2007 angeboten bekommen habt solltet ihr auf jeden fall egal was ihr gemacht habt in den abgesicherten modus wechseln und dort mal scannen, speziell c:\WINDOWS.

was ich mir auch denken könnte dass dieser wurm sozusagen eine "bestrafungsroutine" besitzt, d.h. wenn man ihn nicht annimmt, lädt er halt einfach was anderes auf den zielhost, könnte mich aber natürlich täuschen, wovon ich mir auch recht sicher bin.

musste einfach mal meinen beitrag leisten.
so long, das Huhn

Woher weißt du?

Die beiden müssen nicht mit dem aktuellen Wurm zu tun haben.
svchosl.exe könnte auch er gewesen sein ("stiehlt Daten", "speichert Tastenfolgen").
Ja. Das ist sicher nicht die schlechteste Idee, vorausgesetzt, der Scanner erkennt das Ding. ;)

Hallo Leute,

ist doch ganz einfach. Warum kontaktiert man nicht vorher den Absender der mail (Freund/Freundin) und geht sicher, das er/sie eine zip. Datei zugeschickt hat? Würde nie eine Datei einfach öffnen, wenn ich nicht vorher bescheid weiß!

Einfach mit einer gesunden Portion Misstrauen im world wide web bewegen! ;)

Gruss :party:

wie meisten wird ja empfohlen neu aufsetzen - nun ja diese antwort ist sicher nie verkehrt andergerum auch nicht wirklich befriedigend.

meine erkentniss zum wurm den ich geöffnet hatte ist wie folgt :

habe ihn geöffnet und im laufenden windows escan + antivir laufen lassen und festgestellt das sich 4 schädliginge eingenisstet haben erst einer und so weiter.

danach bin ich sofort in den abgesicherten modus habe dort folgendes laufen lassen :

avg
escan
antivir
und easy clean reg cleaner temp remove etc.

zusätzlich habe ich die sysprinters.dll manuel gelöscht.


danach bin ich noch einmal in windows habe dort den ganzen kram erneut laufen lassen . es wurden keine viren/würmer mehr gefunden.

stellt sich mir die frage bin ich nun frei? naja die meisten werden wohl wieder auf antwort 1 gehen neuaufsetzen

Wenn du den ganzen Thread gelesen hast (der übrigens zur Diskussion da ist, nicht zur Lösung individueller Probleme), sollte deine Frage beantwortet sein.

meine post ist ein beitrag zur diskussion - ich habe nur dargestellt was ich gemacht habe. und nun bin ich viren/würmer frei oder auch nicht das ist die allgemeine frage.

wenn du natürlich nur eine antwort zulässt "Neuaufsetzen" dann bräuchten wir dieses Forum eigentlich nicht oder sehe ich das falsch.

Antworten "zulassen"? Wer lässt Antworten zu (oder verbietet sie)? Ich jedenfalls nicht. :balla:
Für die Diskussion über die ob du "virenfrei" bist, eröffne bitte einen eigenen Thread, denn das ist hier so üblich. :rolleyes:

Inzwischen gibt's auch was von Sophos:
W32/IRCBot-WV - Worm - Sophos threat analysis

bei mir gibt es solche datei garnicht im msn ordner....

und nun...

bohh dieser shit virus....:schrei:

Auch wirst du "retadpu420.exe" und eine "winpop.exe" nicht auf deinem Rechner finden, jedoch sind die Dateien mit großer Wahrscheinlichkeit da. ;)

Also wie schon gesagt, hast du die Datei gleich gelöscht, ist alles gut, hast du sie geöffnet, bleibt dir wohl oder über nur eine Neuinstallation. ;)

Sunny

omg :heulen: neuinstallation.... das heiß das alles wech ist was jetzt drauf ist....:koch:

aber wenn die vorhanden sind muss man die doch finden i-wie.....:balla:

sorry für doppelpost...bitte löschen !!

sorry, aber mit verlaub gesagt bezweifel ich gerade dass meine erklärung nicht akkurat genug war.
w32.rbot.~~~ hätte mein virenscanner erkannt. die teile die ich da gefunden hab waren definitiv neu.
und zu der .zip geschichte nur deshalb, weil weiter vorne in diesem thread jemand von einer .rar datei erzählt hat.

kommt mir das nur so vor oder sind die virenauthoren in den letzten tagen/wochen ein wenig fleißiger als sonst..?

Hm, ich wars zwar nicht :heilig: aber es sollte doch klar sein, dass ein und derselbe Schädling in unterschiedlichen Formaten aufkreuzen kann. Es geht ja nicht darum, dass die ZIP-oder RAR-Datei gefährlich ist (*), denn ZIP/RARsind ja nur Container, die Schadcode beinhalten können!


--
(*)
Es sei denn, die RAR/ZIP-Datei ist gezielt manipuliert, um Schwachstellen in älteren Entpackern auszunutzen, das ist aber jetzt ne andere Baustelle...
--

Diese scheiß Viren!!!!!!

Viele sind schon betroffen davon und meinen, es wäre immer en Witz!!!

Laut Infos aus dem Inet könnte man den Virus durch Miranda IM unterbinden.

Zum Nach lesen

gulli: Vorsicht: MSN Virus verteilt sich über den Microsoft Messenger von Taiwan aus

das ist zwar alles schön und gut was auf gulli steht (leicht zwiespältig das ganze) fakt ist allerdings dass in dem auf gulli beschriebenem programm von einem link gesprochen wird, und der hier behandelte wurm, trojaner, backdoor oder als was auch immer man es bezeichnen will den kontakten in der kontaktliste eine oder mehrere messages schreibt die die "opfer" dazu anregen sollen die darauf folgende datei anzunehmen und zu öffnen.

Außerdem, nur der guten Ordnung halber, der Beitrag im Board Gulli ist vom 13.Februar 2007, also von der ersten MSN-Attacke. :rolleyes:

richtig :daumenhoc
um mal zu meiner frage zurückzukommen..bilde ich mir das ein oder is im moment tatsächlich irgendwie virus hochkonjunktur?

Als Hochkonjuktur würde ich das momentan nicht bezeichnen, auch die weltweit aktuellen Sicherheitsstufen liegen alle bei "niedrig".

Mal abgesehen vom MSN-WURM sind die Botmaster produktiv wie immer. Ein ganz normaler Vorgang in der Ferienzeit...

ahja..nagut. ^^
ich hab mir mal die Freiheit genommen ein bisschen zu stöbern.
also hier mal an alle die schnell ne lösung brauchen, rein theoretisch sollte alles funktionieren, praktisch weiss ich es leider (glücklicherweise?!) nicht.

Da man nicht weiss, ob der Wurm resistent ist zuerst mal die Systemwiederherstellung abschalten.
Danach PC Neu starten und beim hochfahren in den abgesicherten Modus wechseln, das schafft man indem man vor dem Ladescreen von WinXP die Taste F8 Drückt.
Dort angekommen folgende Dateien in dieser Reihenfolge löschen:

[1]..\user\new.txt (z.b. C:\Dokumente und Einstellungen\Blah\)
[2]..\Windows\myalbum2007.zip -> Papierkorb leeren
[3]..\Windows\System\sysprinters.dll, falls nicht Vorhanden, ..\Windows\System32 -> Papierkorb leeren (bei dieser Datei vorsichtshalber aufs änderungsdatum gucken)

[4]Regedit öffnen

[5]zu HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad system32 Navigieren,

[6]Wert B0F684D7-B19D-47B2-BD49-F77F13EB482A Löschen

[7]zu HKCR\CLSID\ navigieren,

[8]Wert B0F684D7-B19D-47B2-BD49-F77F13EB482A Löschen

[9]Computer Neu Starten, diesmal nicht im abgesicherten Modus, und Systemwiederherstellung wieder Aktivieren.

Falls selbst im abgesicherten Modus Schritt [3] nicht funktionieren Sollte,
Start -> Ausführen -> Services.msc

Service (zeichenfolge)B0F684D7-B19D-47B2-BD49-F77F13EB482A(zeichenfolge)
Stoppen und auf deaktivieren setzen.

dann schritt [3] Wiederholen und weitermachen wie beschrieben.


Sollte es dann immernoch nicht funktionieren, und euch liegt nur ein fünkchen an euren email Accounts, Passwörtern und eurer mitmenschen sowie der Intigrität eures Systems und der Sicherheit dass ihr nicht beispielsweise fotografiert werdet (wie damals in sub7-zeiten) und euer gesamter Computerinhalt sichtbar und zugänglich ist, solltet ihr in Betracht ziehen ein ordentliches Backup eurer wichtigen Daten zu machen, und das System neu aufzusetzen.

Diese Anleitung ist in meinen Augen totaler Müll.. :headbang:

Ich weiß aber wo du die her hast ;) , frag doch mal der Freundlichkeit halber nach was mit den anderen Dateien ist welche vom Trojaner übertragen werden:

Und das alles mit stetig wechselnden CLSID:

Also immer schön ruhig bleiben, das einzige was momentan zählt ist und bleibt die Neuinstallation des OS.

ok JETZT krieg ich's fressbrett nimmer zu.
dachte das wär so ne kindergeschichte aber das scheint ja doch schlauer zu sein als man eigentlich dachte..^^ naja hoffen wir einfach mal dass die ganzen msn leutz nich einfach blind jeden scheiss annehmen und sie nicht allzugroße kontaktlisten haben.

Tach auch

Klingt ja mal wieder eindeutig nach einem fall für eingeschränkte Benutzerrechte .
An alle die betroffen sind,
mich würde mal interessieren ob ihr euch den Wurm mit administrator Rechten oder mit eingeschränkten rechten eingefangen habt ???

MIch hats auch erwischt nachdem am gestrigen Tage von einem Freund ein ordner geschickt wurde (ohne sein wissen ;)) und ich doch neugierig war was er mir so für Fotos schickt, nunja nun habe ich mit dem ghost.exe zu kämpfen

sysprinters.dll hab ich gelöscht auch so lösche ich ständig die install Datei.
Es kommt aber immer alles wieder.
Nun habe ich Avast wieder drüber laufen, nun findet er den Ghost nicht mehr dafür was anderes.

HEEEELP!
Was kann ich nochmachen ausser Neu installieren??

:headbang:

lg

Dies ist ein Diskussions-Thread und keine "Hilfe-Thread"..außerdem solltest du wissen, sofern du aufmerksam den Beitrag verfolgt hast, wie nun zu verfahren ist/wäre.

Also..XP-CD heraus und das System neu aufgespielt.

Und nein, es gibt momentan noch keine andere Lösung. :balla:

So wie ich des bei meinem Antivirscan programm (Virus information) gesehen hab, waren innerhalb 2Monate
1. Worm/Zafi.B Worm 28 Jun 2007
2. TR/Dldr.FakeAV.A.3 Trojan 28 Jun 2007
3. TR/Dldr.Nurech.Gen Trojan 28 Jun 2007
4. JS/Small.DN Malware 22 Jun 2007
5. TR/Dldr.Small.ddp.28 Trojan 21 Jun 2007
6. TR/Hijacker.Gen Trojan 19 Jun 2007
7. TR/Spy.Gen Trojan 19 Jun 2007
8. TR/Dropper.Gen Trojan 19 Jun 2007
9. TR/Crypt.Morphine.Gen Trojan 19 Jun 2007
10. TR/Dldr.Agent.11776 Trojan 19 Jun 2007
11. Raiffeisen Bank 1 Phishing 31 May 2007
12. TR/Dldr.iBill.AR Trojan 31 May 2007
13. VBS/IETitle.A VBS script virus 31 May 2007
14. TR/Dldr.Delf.ble Trojan 30 May 2007
15. DR/Dldr.Delf.ble.1 Dropper 30 May 2007
16. DR/Dldr.Delf.ble Dropper 30 May 2007
17. Arizona Federal Credit Union 3 Phishing 30 May 2007
18. TR/Dldr.Bagle.BV.852 Trojan 29 May 2007
19. TR/Dldr.Small.ekz Trojan 28 May 2007
20. Posteitaliane 21 Phishing 24 May 2007
21. Worm/RBot.Mirco.bng Worm 24 May 2007
22. TR/Dldr.Obfuscatd.BK Trojan 24 May 2007
23. DIAL/Generic Dialer 23 May 2007
24. Postbank.nl 1 Phishing 20 May 2007
25. TCF Bank 5 Phishing 17 May 2007
26. TR/PWS.Sinowal.Gen Trojan 16 May 2007
27. Worm/BackNine Worm 15 May 2007
28. TR/Dldr.Swizzor.DV Trojan 15 May 2007
29. Worm/TermX.A Worm 14 May 2007
30. Posteitaliane 17 Phishing 12 May 2007
31. TR/PSW.QQPass.WM.5 Trojan 11 May 2007
32. Worm/Rjump.E Worm 08 May 2007
33. Worm/Sober.AB Worm 04 May 2007
34. TR/Agent.40448 Trojan 02 May 2007
35. TR/Crypt.CFI.Gen Trojan 02 May 2007
36. Banca Sanpaolo 1 Phishing 01 May 2007
37. TR/Click.Agent.JH.4 Trojan 30 Apr 2007
38. TR/Dldr.PurityScan.EE Trojan 30 Apr 2007
39. TR/Dldr.iBill.AK Trojan 28 Apr 2007
40. VBS/Sasan.A.2 VBS script virus 27 Apr 2007

unterwegs.

oh bitte, bitte nicht so präzise..

Ich habe den Thread verfolgt bin aber auch kein Computergenie.
Dinge die ich machen konnte habe ich gemacht, aber hat scheinbar nichts genutzt.
Es kann nicht jeder alles verstehen oder ist frei von Fehlern, eine Frau schon gar nicht.
Sorry für den falschen Thread, wusste eben nicht recht wohin.

Hey Hou.

Aaalso, ich hab nicht viel Ahnung von Virenscannern, dem Aufbau des System und so weiter, ich werde nicht oft von Viren attackiert. Aber wie auch viele andere war ich wohl diesmal etwas... unklug in meiner Handlungsweise.

Jedenfalls habe ich das Viech mir ebenfalls über MSN eingefangen, von einer Freundin und festgestellt, dass ich deshalb nicht unbedingt direkt den Rechner neu aufsetzen will. Die Freundin von der ich mir das Teil eingefangen habe, fragte mich, was sie dagegen tun kann.

Ich habe eben, wie ichs immer tue, wenn sich was auf meinem Rechner installiert hat, was ich nicht wirklich haben will, einfach gesagt, sie soll ne Systemwiederherstellung auf ein früheres Datum machen. Und scheinbar hats geklappt. Sie hat keine Probleme mehr. Ich habs auch versucht. Und hatte auch keine Probleme mehr mit dem Virus.

Ich kann nicht sagen ob das so einfach ist und ob man danach wirklich Virenfrei ist, aber meine Scanner haben derzeit nichts mehr gefunden. Dummerweise hat ich dann wieder ein anderes Problem mit meinem System, musste die Wiederherstellung Rückgängig machen und habe den Virus nun wieder.

Wie gesagt, ich hab keine Ahnung ob das klappen kann, aber irgendwer, der viel Ahnung davon hat und immer noch Problemchen mit dem Virus schiebt, kann das ja mal versuchen und mir sagen ob der dann weg ist. Also wenn irgendein Virenscanner das sagen kann ob der weg ist. Meine drei könnens irgendwie nicht oder ich bin nicht in der Lage das zu lesen, was die mir da geben. :balla:

Grüße, der Keks

Ach und - tut mir Leid wenn der Thread falsch gewählt ist oder irgendjemand was gegen diese Aussage hat o_O Ich bin hilflos und verzweifelt... Aber ich mach jetz noch mal Systemwiederherstellung =D

Mwhar... Kurzer Edit: Systemwiederherstellung irgendwie kaputt gegangen. Also mittlerweile geht das bei mir nicht mehr.

Auch hier nochmal: :)

-Wenn ihr mit dem Wurm infiziert seid dann werdet ihr ihn nicht wieder los!

+Auch wenn verschiedenste AntiProgramme etwas anderes behaupten verankert sich der Schädling durch seine BackdoorQualitäten so fest in eurem System, das ihn NIEMAND finden kann. Erst recht kein AV-Prog.

Es verhält sich stark vereinfacht etwa so:
Der Wurm verschickt sich selbst an alle MSN Kontakte. Wird er ausgeführt verankert er sich zu erst selbst im System (dieser kann noch gefunden und desinfiziert werden). Dann öffnet er Hintertüren wodurch sein Schöpfer Zugriff auf euren PC bekommt und neue Schädlinge versteckt, weitere Türen öffnet, Daten stielt oder weiss der Geier wat..(Diese System-Veränderungen können ohne Prüfsumme nicht nachfollzogen werden was eine Bereinigung UNMÖGLICH macht!)

-Solltet ihr also infiziert worden sein so ist euer System kompromitiert! Auch wenn tausend AntiProgs das Gegenteil behaupten und auch ihr keine Veränderungen sprürt. Der Hacker hat vollen Zugriff auf euer System und damit auf eure Privatsphäre!

=>Setzt euren Rechner neu auf!

hoffentlich verständlichen Gruß

Undoreal

Hi,
Habe den selben Kram letzte Nacht auch auf meinem Rechner gehabt:pfui: . Hab gleich neu installiert, kein Lust und ärgern mich damit herum:headbang: . Da gibt es aber noch 1 ganz wichtige Sache!! Bei mir hieß die schädliche Datei MYALBUM2007, ich dusel das ding angenommen. Hat sich automatische entpackt dann war das chaos perfekt. Kenne mehrere mit dem selben prob. das ding geht soweit das es euch eure passwörter von ICQ und Msn mopst. Mein Icq war nach dieser Geschichte tot:kloppen: . Dafür gibts ja den Icq sniffer:sword2: . So hoffe ich konnt bissl helfen und licht ins dunkel bringen. Viel Glück. Der mario

:daumenhoc

Man sollte sich nicht zu sehr auf den Dateinamen fixieren. Der Schädling kann prinzipiell sich unter jedem Dateinamen verbergen. Deswegen immer wachsam und misstrauisch sein wenn jmd. (auch im Freundeskreis) aufdringlich dazu auffordert eine Datei öffnen.
Auf Virenscanner ist kein Verlass, neue Schädlinge werden meist nicht erkannt, ein eingeschränktes Konto wird den Befall wahrscheinlich verhindern.

Tach zusammen.
Hab mir vorgestern auch das possierliche kleine Würmchen zugelegt :headbang: ...könnt mich innen arsch beißen

Nuja, hab daraufhin gleich mal Norton auf den neusten Stand gebracht und meinen PC scannen lassen. 6 Stunden hats gedauert und am Ende wurden 4 Bedrohungen gefunden die auch gleich entfernt wurden. Seitdem hab ich mit dem Wurm selber keine Probleme mehr d.h. die "Symptome" wie z.b. dass er sich an meine MSN Kontakte verschickt treten nicht mehr auf...auch sämtliche Daten die das Ding eingeschleust hat und von denen hier auch die Rede war sind nicht mehr vorhanden....bleibt das Problem mit der Backdoor:balla:

Ehrlich gesagt hab ich nicht wirklich viel Lust mein System platt zu machen und neu aufzuspielen wenn es nicht wirklich sein muss. Ich kenn mich auf dem Gebiet nicht wirklich aus aber es muss doch neben dem Formatieren noch ne andre Möglichkeit geben:mad: Ich mein wofür zahl ich denn nen Arsch voll Geld für AntiViren-Programme wenn sie mir im Endeffekt nichts nützen?

Ist formatieren wirklich die einzig sinnvolle Methode oder wirds da in absehbarer Zeit noch andere Möglichkeiten geben um den Scheiß wieder loszuwerden?

Gruß

Den Wurm selber kann man loswerden, aber das was der neue Remoteadministrator (der Wurm ist nämlich eine Backdoor) auf dienem System anstellen konnte, dass lässt sich nicht nachvollziehen, das weiß nur er. Es ist z.B. möglich, dass er sich wissend, dass seine erste Hintertür schnell entfernt werden wird, eine neue wesentlich besser versteckte angelegt hat.

Die ganze Sicherheitssoftware ist auch komplett sinnlos wenn man einfach alles runterlädt und anklickt. Du darfst nichtvergessen: Diese Backdoor hast Du dir auf deinem System installiert, niemand anders sonst. Von außerhalb wurde dir nur ein Angebot gemacht. Wer auf jedes dieser vielen Angebote eingeht, dem/der ist einfach nicht zu helfen.

http://www.prometeo.de/blog/MSNMyphotozip.aspx

weiss net ob oder ob net aber hab das hier gefunden durch zufall

MSN myphoto.zip
Saturday, June 09, 2007 3:16:13 PM (W. Europe Daylight Time, UTC+02:00)

Zurzeit macht ein blöder Virus im Live Messenger die Runde. Den Namen weiss ich leider nicht, da Norton ihn scheinbar nicht erkennt.

Eure Messenger Kontakte schicken euch einen Text auf englisch der euch auffordert euch die MyPhoto.zip anzuschauen. Kaum hat man die Datei akzeptiert ist das Ding schon installiert. Lehnt man ab, wird man so lange genervt bis man ihn annimmt.

Es gibt zwei Möglichkeiten das Ding loszuwerden, einen schlauen und eine Dummen Weg. Der Dumme Weg ist die Datei zu akzeptieren, denn sobald man angenommen hat, wird man nicht mehr genervt, verschickt dann aber die Datei an alle seine Kontakte. Diesen Vorschlag bekam ein Freund von mir von einem seiner MSN Kontakte..

Der schlaue Weg.

1. Über Start >> ausführen >> msconfig >> Systemstart und dort bei dem Eintrag msnservice.exe den Haken wegmachen.
2. Computer neustarten
3. Nach dem Neustart in den Ordern c:\Recycler wechseln und dort die Datei msnservice.exe löschen
4. Über Start >> ausführen >> regedit eingeben
5. In der registry nach msnservice.exe suchen und alle Einträge dazu löschen, danach ist das System wieder sauber.

mfG

Gosling

@Blackgosling

Das gab es schon, und damit ist keine Systemsicherheit gegeben, daher die Neuinstallation!!! ;)

Was nützt das löschen eines Programms, wenn an zweiter Stelle schon nachgeladen oder eine "Hintertür" aufgenaut wurde. :)

Sunny

Und den MSM kann man auch einfach über XP-AntiSpy deinstallieren!

... oder ohne XP-Antispy: howto

neue fakten bitte !
irgendwelche neuen erkenntnisse über neu bekannt gewordene dateien oder startroutinen?

thx :)

Ich habe diese Datei ebenfalls erhalten und angenommen.
Aber als ich sie Enzipen wollte, kam bei mir die Meldung (In einem PopUp Fenster): Wurde Blockiert, konnte nicht geöffnet werden.
Ist das nun ein Trick vom Virus, damit ich meine, dass ich ihn nicht auf meinem Computer habe oder hat ein Sicherheitsprogramm auf dem Computer die Viren Signatur erkannt und geblockt?
(Ich benutzte zu diesem Zeitpunkt AVG und AntiVir)
Ich benutze das Standart Windows Enzip Programm: CompressedFolder (Extrahier Assistent)
Auf meinem Computer fand ich keine Dateien mit den Namen: sysprinters.dll oder ghost.exe.
Ich habe nach der Meldung, dass das Enzipen Blockiert wurde, myalbum2007.zip sofort gelöscht.
Ich hatte vorhin auch versucht im Abgesicherten Modus den Rootkit Check zu machen, aber AntiVir Scannt sich nur selber :-(
Hatte sonst noch jemand das Phänomen, dass ein PopUp mit der Meldung kam, dass der Vorgang blockiert wurde? – Ich frage mich einfach ob ich jetzt einfach den Trojaner auf meinem Computer habe oder einfach glück hatte.
Danke schon im voraus für die Hilfe …
edit: Mein Hijackthis Log: http://lastnightdream.googlepages.com/hijackthis.txt

Hi,

dein Log zeigt diesen Messenger Backdoor nicht. Unterdessen erkennen ihn ja auch viele Scanner, können also noch rechtzeitig einschreiten und die Aktivierung unterbinden. Als er neu war, war das aber nicht der Fall. Und natürlich musst Du beim nächsten davon ausgehen, dass der auch erstmal von keinem Scanner erkannt wird, deshalb ist es ziemlich verrückt, einfahc alles anzuklicken und dem Virenscanner die Aufgabe zuzuschieben, auszusortieren.

Dein Log zeigt mehrere Virenscanner und mehrere Firewalls, von beidem soll man jeweils nur eins aktiv haben, ein Mehr bedeutet nicht ein Mehr an Sicherheit, sondern kann sogar dazu führen, dass die Sicherheit gesenkt wird. Von starker Verlangsamung des Systems und eventuellem Crash ganz zu schweigen.

Hallo hatte keine Zeit die letzten seiten zu lesen jedoch braucht man nur die datein C:/WINDOWS/system32/sysprinters.dll und C:/WInDOWS/myalbum2007.zip löschen und einmal noch nen virenscan machen und das wars.

zumindest bei mir =)

Nein, das ist schlichtweg zu kurz gedacht. Lies dir bitte die vorherigen Beiträge hier im Thread durch. Hättest du das gemacht, hättest du diese Aussage wohl auch nicht gepostet...:rolleyes:

Les doch bitte mal den Thread, es wird nämlich erklärt, dass es dir nichts bringt, wenn der virus weg ist, da bei der aktivierung eine hintertür geöffnet wird und diese Hintertüren werden von dem Hacker weiterhin immer neu angelegt. Ist der Virus weg, bedeutet es nicht, dass die Hintertüren auch weg sind.
Gruß

hiho @ all

also meine schwester hat sich diesen sch... wurm :pfui: auch eingefangen und wie ich hier mitbekommen hab ist die einzig sichere variante ohne eine hintertür für den erzeuger zu hinterlassen das system komplett neu zu machen! is ja nich das problem!

aber ::confused:

hab meiner sister 2 partitionen angelegt 1x system und 1x für die anderen daten... blider, musik, spiele unsw.
hab auch antivir und adaware laufen lassen und alle funde löschen lassen, reicht ja nun nicht wie ich gelesen hab!

jetzt meine fragen:

1. reicht es wenn ich nus die systempartition formatiere und win neu aufspiele oder könnte es sein das auch auf der anderen partition der wurm seine eier hinterlegt hat und dadurch ein hintertürchen bleibt?

2. muß ich damit rechnen das der wurm auch irgendwelche verknüpfungen oder sowas auf meiner mobilen platte erstellt und dadurch die daten darauf gefährdet wenn ich die daten sichern will von meiner sister?
hab dort meine geschäftlichen daten und datensicherungen drauf .. und die will ich nich riskieren!

über infos würd ich mich freuen!

vg der biker811

Ja, ist prinzipiell möglich, daher würde ich alles was mit ausführbaren Daten auf der Datenpartition zu tun hat, wegschmeißen. Also auch alle Spiele- und Programmverzeichnisse, alle Dateien vom Typ *.exe, *.com. Bei Archiven (*.ZIP, *.RAR) ebenfalls vorsichtig sein, denn darin könnten verseuchte Daten schlummern.
Wen du wirklich nur reine Datendateien behälst (z.B. Musik, Filme, Dokumente) solltest du den Befall ausschließen können.

Klemm die Platte auf keinen Fall ans verseuchte System! Wenn du Daten sichern willst, mach das von einem sauberen System aus, z.B. mit Hilfe einer Rettungs-CD (BartPE, Knoppix etc.). Die musst du dirnat. vorher irgendwie besorgen, runterladen und brennen aber bitte auch nur mit einem sauberen Rechner.

hi....

hab problem heut kam der virus wieder und jetzt kommt immer die meldung von updates, das problem ist das immer das gleiche update kommt *sicherheitsupdate für microsoft network version 1.1 service pack 1 - kb928366*.... wird installiert und nachem booten kommt das gleiche update wieder....:huepp:

was kann das sein....:headbang:

mfg:party:

OMG

Setzte deinen Rechner einfach neu auf.

Hat die längste Praline der Welt das immer noch nicht getan oder führt sie immer wieder den gleichen Schädling aus, wenn das System wieder frisch ist? :confused:

uh ho wow ihr kennt virustotal..........lol die armen viren werden dadurch nur schneller eh

ach des darf ich ja net sagen..........

so lange ich die v gegen alle virnscan fud griege hab ich keine probleme......

Hallo!
Ich hab hier eure Diskussionen bzw Vorschläge mitverfolgt.
Fakt ist, dass ich mir auch diesn Wurm eingefangen hab und seitdem, erscheint alle 15 min eine meldung:
C:\dokumente\yvexqr.exe
Die NTVDM-CPU hat einen ungültigen Befehl entdeckt.
CS: 0f3b IP: 0102 OP: 63 72 69 70 klicken sie hier auf schliessen und die anwendung zu beenden.
Jetzt frage ich mich was soll das?!?
Des Weiteren: hab ich diverse Trojaner gefunden wie
Tannick. B.
Backdoor Hax

Wer daher, das system neu aufsetzen müssen...

Danke für eine Anwort.

ich beobachte diese diskussion jetzt schon seit geraumer zeit..
und keine frage - schadprogramme haben heute zum großteil mehr als eine aufgabe.
aber wie kommen denn die, wenn man sie denn so nennen darf hiesigen profis auf die idee dass dieser wurm ne backdoor aufmacht?
gibts da irgendwelche erkenntnisse oder konkrete feststellungen?
ich war in der zwischenzeit bei meiner freundin die mit eine der ersten "infizierten" war und hab mir ihren computer mal genauer unter die lupe genommen, sprich den kompletten windows ordner auf veränderungen (datumstechnisch) überprüft und festgestellt.. :O die letzten veränderungen wurden ca einen monat vor diesem virenbefall vorgenommen, und diese veränderungen kamen lediglich von updates...auch wurde natürlich der rest des computers überprüft und ne liste erstellter und veränderter dateien in einem 3 wöchigen zeitraum erstellt. nichts auffälliges. wie auch immer kann ja sein dass es da 30 verschiedene abarten von diesem teil gibt, und mag auch sein dass das alles von system zu system anders ist, und mag sein dass neu aufsetzen immer (ja, diese meinung vertrete ich auch) der sicherste weg ist, aber warum sollte man sich so eine mühe machen wenn im grunde genommen nichts großartiges passiert bis auf ein paar service startup entrys und zwei drei vier dateien..? :P

mal ehrlich. probieren geht über studieren und man bekommt es ja mit wenn sich die maus mal von alleine bewegt oder man lustige bilderchen per msn verschickt, und meine meinung ist dass man erstmal alles versuchen sollte was man kann, und dann erstmal wenn weitere probleme auftreten das ding einfach plattbügelt und neu aufsetzt.

kommt irgendwann der tag an dem behauptet wird dass in browsergames resistente master-bood-record viren sitzen die jede bilddatei durch ein pornobild, und jede sounddatei durch gestöhne ersetzt wird, und schliesslich den monitor mit 18200 herz ansteuert und der besitzer..naja...punktiert wird?

kommt runter leute...is nich die apokalypse.

für alle anderen: neuaufsetzen is was feines, aber immer schön netzwerkkabel rausziehn und sp2 von ner cd installieren...iss gesünder.

das wort zum montag.
prost.

Den von Anfang Juli (sysprinters.dll) hatte ich hier am laufen und habe auf dem Router zugesehen, wie er sich mit seinem Botmaster unterhalten hat. Von dem gerade umgehenden (libcintles3.dll) habe ich unterdessen Scanergebnisse gesehen, z.B. hier:
Was die Suche nach neuen Dateien angeht: Sicher ein weiteres Hilfsmittel zu Untersuchung eines Systems, es gibt aber auch eine Menge Malware, die Dateien zurückdatieren. Die mit Dateien und Ordnern gespeicherten Daten lassen sich nämlich beliebig verändern. Außerdem muss eine Systemveränderung nicht neue Dateien bedeuten, es können auch veränderte Systemdateien sein. Die NEtzwerktreiber von Windows sind da unterdessen ein beliebtes Ziel.

Wenn Du zu dem untersuchten System regelmäßig vollständige Prüfsummen über alle Dateien anlegst, dann hast Du 99,99% der Computernutzer bereits was voraus. Das ist eine der Voraussetzungen, ein System auf Manipulation prüfen zu können. Ob allerdings sicherheitsrelevante Einstellungen in der Registry verändert wurden, wird davon nicht erfasst.

Du kapierst das auch nicht oder? Man les alles nochmal durch und dann denk nochmal... "Datumstechnisch überprüft" Gaaaaanz toll.

Für dich vielleicht net. Hast du schonmal gedacht das es sowas wie z.B. Online-Banking gibt? Stell dir mal folgende Situation vor:

Du kaufst die meisten Sachen über Internet, hast also 95% von deinen "Ersparnissen" auf deinem Online-Banking-Konto. Und jetzt kommt irgendein Virenprogrammierendes Sackgesicht, und dein PC wird von ihm kompromittiert. Jetzt ist man so schlau wie du, ignoriert alle Posts dafür, da sie deiner nicht würdig sind, und sagt ich hab ja alles gelöscht und "Datumstechnisch Überprüft" also ist mein PC sauber...und dann eines Tages loggst du dich ein mit deinen Daten und dann kommt sowas wie: "Ihr Kontoguthaben beträgt 0.00€" oder noch besser "Falsches Passwort". UND DANN? Was ist das dann für den Betreffenden?!

Bei mir hat sich der Wurm aber anders verbreitet als auf die hier beschriebene Weise.

Mein Bruder hat den halt angenommen und mir nichts davon erzählt, und ich loggte mich so wie immer bei MSN an und redete bestimmt 2 Stunden über msn als er dann plötzlich allen Kontakten die gerade online waren ein fenster öffnete und nicht die hier genannte myalbum2007.zip schickte sondern drei Dateien mit dem Namen photo004.xy, photo006.xy (die Endung weiß ich jetzt nicht mehr), diese wurden aber nicht als Datei geschickt sondern ohne mein Eingreifen (konnte nicht der Bildschirm war praktisch gefreezt) auch sofort abbrach, also das senden. Auch ein ganz anderer Text wurde gesendet z.b. (das war bei jedem kontakt anders) "schau dir an wie scheiße jetzt die Paris Hilton aussieht seitdem die aus dem Knast ist" oder "schau hier wir beide nackt - sag es niemanden". Ich hab auch nach ner Datei namens myphoto2007.zip gesucht hab da aber auch nichts mehr finden können. Ich hatte auch nicht diese libcintles3.dll oder sysprinters.dll in meinem hijackthislog.... auch während der ganzen Zeit wo ich unwissend im Internet gesurft bin, hab ich keine Auffälligkeiten gespürt...

ganz locker bleiben ;)
ok wenn man sich dieses szenario mal vorstellt kommt man auf diverse lustige ideen:

wenn ich 95% all meiner ersparnisse auf nem onlinebanking konto hab und wie du schon sagtest alles von zuhause aus kaufe, bin ich wohl ein ziemlicher nerd, und kenn mich ein wenig mit sowas aus. andernfalls wenn man sowas macht hat man wohl zumindest ein bisschen gegen sowas zu wirken indem man nen virenscanner installiert. und selbst wenn sowas eines tages passiert kannst du zu deiner bank gehn, deinen pc überprüfen lassen und bekommst das geld erstattet.

andere frage: was machst du wenn deine bankkarte an nem geldautomaten ausgelesen wird und du dann auf einmal feststellst: 0.00€ ?

oder gar mal ne woche ausser haus bist und im übertragenden sinne feststellst "passwort falsch" -> schlüssel passt nich mehr weil sich jemand mit nem dremel an deiner haustür zu schaffen gemacht hat?

risiko is immer da. und durchgelesen hab ich mir das alles schon, da mach dir mal keine sorgen hab direkt am ersten tach als es den thread hier gab mitgeschrieben.

Hallo

So ich bin neu hier und bei mir und einer Freundin hat sich ein Problem aufgetan...
Sie hat versucht mir bei MSN den Ordner "S_00305_jpg.zip" zu senden
Ich habe ihn zum Glück nicht angenommen!
Jedoch weis sie nun nicht wie sie den Virus wieder los wird kann mir einer sagen wie es geht damit ich ihr helfen kann?
Ich habe leider selber nämlich keinerlei ahnung von solchen Sachen... :headbang:

hey leute
kann mir mal jemand sagen was es mit 'BAT/Agent.R' [BAT/Agent.R] auf sich hat??? ihr redet alle über sysprinters.dll und libcintles3.dll und die datei myalbum2007.zip. 'BAT/Agent.R' kommt aber in lastnight.zip und september11.zip

Schonmal drüber nachgedacht, dass die Schädlingsautoren ihre Malware weiterentwickeln bzw. abändern? :rolleyes:
Die alten Versionen sollte mittlerweile eigentlich jeder Virenscanner erkennen.

hallo!

also ich hab ein kleines (oder vielleicht auch großes?) problem...
und zwar bekomme ich seit kurzem immer wieder von einem freund von mir nachrichten wenn er offline ist! er hat mir aber versichert, dass er nichts davon geschrieben hat, was ich ihm auch glaube! das sind dann nachrichten wie: "Haha sollten Sie dieses Ihre Rückstellung auf myspace oder etwas pic bilden :D" (immer in so seltsamem deutsch)
auch hat "er" immer wieder versucht mir IMG-dateinen zu schicken, die Übertragung hat aber immer sofort abgebrochen, angenommen hab ich also nichts...

vorgestern hat er mir dann erzählt, dass ihm ein freund hunderte von viren und ein paar trojaner von seinem laptop entfernt hat! dadurch bin ich dann auch ein bisschen in panik geraten, da das anscheinend nur bei mir passiert ist... kann es sein, dass die alle auf mein notebook übergegangen sind? mein antivirenprogramm (avast) findet jedenfalls nichts!

kann ich da was tun?

lg, lulu

tach! habe da ein problem

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA http://www.smilies.4-user.de/include...lie_be_027.gif
[/edit]

ich habe das gleiche problem wie du

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA http://www.smilies.4-user.de/include...lie_be_027.gif
[/edit]

spaminator

Du hast wenig Ehre so einen Bullshit zu Weihnachten zu posten! :headbang::mad: :pfui:

Wo sind die beiträge von heute geblieben ?

Die Beiträge wurden gelöscht, weil sie beide Male den schädlichen Link beinhalteten der auf den MSN-Wurm zurückzuführen ist.

Und da wir doch vermeiden wollen das sich noch weitere User infizieren, habe ich die Beiträge zur "Weiterbearbeitung" gemeldet. ;)

Hallo , ach so ...habe ein Thread aufgemacht in Highjack This Logs Posten ...wo ich auch den Text hinein geschrieben habe ...hoffe das ist ok ..er geht ja nicht zum anklicken.

Anscheinend muss ich sowieso neu aufsetzen da mir bisher leider noch niemand weiterholfen konnte .

:) Nochmal für alle:

Wer sich mit dem Wurm infiziert hat solte dringend neuaufsetzten!!!

Eine Bereinigung ist nicht möglich.

Ich habe heute von einem Kumpel eine Nachricht mit dem Inhalt:

(Name) sagt:
PARTY PARTY PARTY

http://(name).pics.srys.info

erhalten, und aus Naivität meinen Namen und das PW dort eingegeben :headbang: Und erst später erkannte ich den Fehler, und laut "AGB" darf mir der jetzt Links/Werbung über MSN und Mail schicken und die Regeln JEDERZEIT(!!) ändern! Mann, was hat das sonst für Auswirkungen, und, vor allem, WIE kannich den Scheiß beheben? Es regt mich so auf, vor allem kommt sowas immer dann, wenn man überhaupt nicht damit rechnet.

BITTE SO SCHNELL WIE MÖGLICH HELFEN!!!

Dann mach bitte einen eigenen Fred auf und poste dort ein HJT-Log nach dieser Anleitung
Beachte aktive Links zu deaktiviren (http:// durch h**p://) und deine Realnamen mit **** ersetzen.
Aber wenn es sich um den MSN Wurm handelt, kannst du gleich anfangen neu aufzusetzen.