ragna
Goto Top

Backdoor.Win32.agent.akf

Moin zusammen,
es geht um den neuen Virus, der getarnt als Rechnung der 1&1 per Mail versendet wird. Hat jemand eine Idee wie sich Backdoor.Win32.agent.akf unschädlich bzw. entfernen lässt?
Wie kann ich ein befallenes Sysem, das sich nicht mehr booten läßt noch retten?
Gruß aus dem Norden
Ragna

Content-ID: 48389

Url: https://administrator.de/forum/backdoor-win32-agent-akf-48389.html

Ausgedruckt am: 23.12.2024 um 07:12 Uhr

cykes
cykes 10.01.2007 um 11:21:57 Uhr
Goto Top
Hi,

im Moment scheinen sämtliche Scanner den Trojaner im besten Fall zu erkennen, es gibt noch
keine genaue Beschreibung im Netz und somit auch noch keine Entfernungstipps.

Du könntest eventuell mal über eine Bart PE CD mit verschiedenen integrierten Virenscannern,
die auf dem aktuellsten Stand sein sollten, scannen und die infizierten Dateien herausfinden
und eventuell löschen lassen. Du solltest Dir die gefundenen Dateinamen aufschreiben und danach die Registry nach diesen durchsuchen und die Verweise auf diese Dateien auch löschen.

Gruß

cykes
ChrisRT
ChrisRT 12.01.2007 um 12:29:32 Uhr
Goto Top
Ich hatte auch das "Glück", die Rechnung.pdf.exe anzuklicken. Daraufhin wurden ca. 10 mal die Schlüssel "WinUpdate" in die Registry eingetragen, die auf die neue, versteckte Datei \system32\algr.exe verwiesen. Der Virenscanner ClamWin (www.clamwin.com) zeigt den Virus "Trojan.Downloader-462" an. Laut Firewall versucht algr.exe ins Internet zu kommen. Das Programm hijackthis 1.99.1 (www.merijn.org) zeigt u.a.:

O4 - HKLM\..\Run: [WinUpdate] C:\WINDOWS\system32\algr.exe
O4 - HKLM\..\RunServices: [WinUpdate] C:\WINDOWS\system32\algr.exe
O4 - HKCU\..\Run: [WinUpdate] C:\WINDOWS\system32\algr.exe
O4 - HKCU\..\RunServices: [WinUpdate] C:\WINDOWS\system32\algr.exe

Löschen in der Registry hat zunächst wenig Sinn, nach wenigen Sekunden sind die Einträge wieder da. Die algr.exe lässt sich erst nach behandeln mit Unlocker (http://ccollomb.free.fr/unlocker/) löschen.

In der Systemsteuerung habe ich noch den Dienst "Windows Update" deaktiviert. Seitdem erscheinen die Registry-Einträge nicht mehr und liessen sich daher mit regedt32 entfernen.

Ob noch etwas zu tun ist, weiß ich derzeit nicht, aber bisher scheint mein System stabil weiter zu laufen, auch nach 3x herunterfahren konnte ich dann gestern den ganzen Tag problemlos arbeiten.

Laut Presse gab es in der 1&1 Mail ja in einer kleinen (ca. 9kB) und einer großen Variante. Meine war die kleine.

Hoffe das hilft dem einen oder anderen...
cykes
cykes 12.01.2007 um 18:19:17 Uhr
Goto Top
Hi,

lies Dir das hier mal bei den kollegene von Onlinekosten.de durch:
http://www.onlinekosten.de/news/artikel/24048/0/1&1_stellt_Tool_geg ...

Es müsste also inzwischen ein Entfernungstool direkt auf der 1&1 Seite geben.

Gruß

cykes

[EDIT] Hier noch der direkte Link zur Symantec Seite für das removal Tool: http://www.symantec.com/enterprise/security_response/writeup.jsp?docid= ...
Ragna
Ragna 12.01.2007 um 20:11:47 Uhr
Goto Top
JAAAAA !!! Danke cykes, das wars !!! face-smile