10
MSN Virus mit Anhang MyAlbum2007
Suche Möglichkeiten ohne Neuistallation vom Betriebsystem um den neuen MSN Virus loszuwerden,
da dieser sich angeblich sogar über den IRC Client ICQ vorhanden sein soll!!
Dieser Virus benutzt leider dazu noch die Backdoor Funktion und verteilt sich somit an alle weiter die
im MSN unterwegs sind, man kann die Datei zwar Löschen, aber sie kommt trotzdem immer wieder!
Viele Kunden haben den im moment drauf, und es werden immer mehr!!
Wirklich mal Hilfe von Fachleuten, habe mich schon jetzt über 3 Tage durchgeguggelt!!
Die Datei die dieser Virus/Trojaner hinterlässt ist "MyAlbum2007" und der Virus wird als WIN32:ISTbar-AU2 erkannt
da dieser sich angeblich sogar über den IRC Client ICQ vorhanden sein soll!!
Dieser Virus benutzt leider dazu noch die Backdoor Funktion und verteilt sich somit an alle weiter die
im MSN unterwegs sind, man kann die Datei zwar Löschen, aber sie kommt trotzdem immer wieder!
Viele Kunden haben den im moment drauf, und es werden immer mehr!!
Wirklich mal Hilfe von Fachleuten, habe mich schon jetzt über 3 Tage durchgeguggelt!!
Die Datei die dieser Virus/Trojaner hinterlässt ist "MyAlbum2007" und der Virus wird als WIN32:ISTbar-AU2 erkannt
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 62976
Url: https://administrator.de/contentid/62976
Printed on: April 18, 2024 at 14:04 o'clock
10 Comments
Latest comment
Hallo Cythux,
dieser Schaedling ist auch unter dem Namen Troj/Istbar-DG bekannt.
Dieser Trojaner ist an sich nichts neues, es gibt Ihn schon seit drei Jahren.
In den letzten Tagen sind allerdingsgs neue Varianten entdeckt worden, Sophos bietet gegen oben genannten Trojaner erst seit gestern eine Signatur an.
Um Dir konkret sagen zu koennen, was der Schaedling macht und wie man ihn wieder los wird, muesstest Du mir Diesen komprimiert in einem *.zip oder *.tar - Format einsenden an: ceo_at_ampersanded.com
Wenn Du das moechtest, dann melde mir das VORHER via PN an!
In der vom Schaedling hinterlassenen Datei, stehen alle Angaben betreffend der nachfolgend runtergeladenen oder noch nachzuladenen Schadprogramme verzeichnet; sowie deren Download-Adressen, das sollte dann in etwa so aussehen:
|5|20050406|
ts|http://URLHIER/DR_S/bp/as_8_new.exe|1|bs_8_new.exe|1.0|1|
adsh|http://URLHIER/DR_S/bp/afita.exe|2|afita.exe|1.2|1|
sfitb|http://URLHIER/DR_S/bp/SYSsfita.dll|3|SYSsfita.dll|1.0|2
ezu|http://URLHIER/DR_S/bp/wzStub.exe|3|wzStub.exe|1.0|1|
sfisb|http://URLHIER/DR_S/bp/ReplaceSearch.dll|3|ReplaceSearch
sfisb|.dll|1.0|2|
Du kannst mir hier mal dein HijackThis Log posten, download unter:
http://www.merijn.org/programs.php#hijackthis
saludos
gnarff
dieser Schaedling ist auch unter dem Namen Troj/Istbar-DG bekannt.
Dieser Trojaner ist an sich nichts neues, es gibt Ihn schon seit drei Jahren.
In den letzten Tagen sind allerdingsgs neue Varianten entdeckt worden, Sophos bietet gegen oben genannten Trojaner erst seit gestern eine Signatur an.
Um Dir konkret sagen zu koennen, was der Schaedling macht und wie man ihn wieder los wird, muesstest Du mir Diesen komprimiert in einem *.zip oder *.tar - Format einsenden an: ceo_at_ampersanded.com
Wenn Du das moechtest, dann melde mir das VORHER via PN an!
In der vom Schaedling hinterlassenen Datei, stehen alle Angaben betreffend der nachfolgend runtergeladenen oder noch nachzuladenen Schadprogramme verzeichnet; sowie deren Download-Adressen, das sollte dann in etwa so aussehen:
|5|20050406|
ts|http://URLHIER/DR_S/bp/as_8_new.exe|1|bs_8_new.exe|1.0|1|
adsh|http://URLHIER/DR_S/bp/afita.exe|2|afita.exe|1.2|1|
sfitb|http://URLHIER/DR_S/bp/SYSsfita.dll|3|SYSsfita.dll|1.0|2
sfisb|http://URLHIER/DR_S/bp/ReplaceSearch.dll|3|ReplaceSearch
sfisb|.dll|1.0|2|
Du kannst mir hier mal dein HijackThis Log posten, download unter:
http://www.merijn.org/programs.php#hijackthis
saludos
gnarff
Sehr schoene Arbeit!
Haette diese Datei nur zu gern selbst gehabt, da ich mich beruflich mit Malware- Reverse Engineering befasse.
saludos
gnarff
Haette diese Datei nur zu gern selbst gehabt, da ich mich beruflich mit Malware- Reverse Engineering befasse.
saludos
gnarff
Habe jetzt auch genau das gleich problem kan mir einer vieleicht helfen damit ich das wieder weg bekomme antivir finded bei jeden suchlaufm was neues habe die datei allerdings schon wieder gelöscht 
Hallo Piet!
Habe jetzt auch genau das gleich problem kan
mir einer vieleicht helfen damit ich das
wieder weg bekomme antivir finded bei jeden
suchlaufm was neues habe die datei allerdings
schon wieder gelöscht
WAS findet AntiVir?
saludos
gnarff
Habe jetzt auch genau das gleich problem kan
mir einer vieleicht helfen damit ich das
wieder weg bekomme antivir finded bei jeden
suchlaufm was neues habe die datei allerdings
schon wieder gelöscht
saludos
gnarff
TR/Crypt.ULPM.Gen' [TR/Crypt.ULPM.Gen
wenn du das meinst
wenn du das meinst
Hallo Piet!
Ja, exakt, dass meinte ich!
Der von Dir gemeldete Schaedling TR/Crypt.ULPM.Gen, ist auch unter folgenden Namen bekannt:
*Worm_Brontok_AM,
*W32/Rontokbro.gen@MM,
*W32.Rontokbro.B@mm,
*W32/BRONTOK-CV,
*Win32/BRONTOK@mm!0A1C
Es handelt sich hierbei um einen Wurm, der gleich mit 4 Payloads ins Haus kommt:
- Im Windows Explorer schaltet er die Funktion "Optionen" im Menue "Werkzeuge" ab.
- Er verhindert den Zugriff auf den Registrierdatenbank-Editor.
- Er verhindert den Zugriff auf cmd.exe, der Kommandozeile
- Er faehrt das System runter, bzw. rebootet es.
Dieser speicherresidente Schaedling verbreitet sich mittels von E-Mail Anhaengen und versendet sich dann weiter.
Diese Features machen es zur Fleissarbeit, dieses Schadprogramm von Hand vom Rechner zu entfernen.
Das geht wie folgt:
1. Die Systemwiederherstellung ausschalten.
2. Neustart und mit F8 in den abgesicherten Betriebsmodus gehen.
3. Zugriff auf den Registrierdatenbank-Editor wieder herstellen, das geht wie folgt beschrieben:
- Den Editor NOTEPAD oeffnen und folgendes eingeben:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\System]
"DisableRegistryTools" = dword:00000000
Diese Datei als NEU.REG auf dem Desktop abspeichern und danach mittels Doppelclick ausfuehren lassen.
Jetzt sollten wir wieder Zugriff auf den Registrierdatenbank-Editor haben
4. Mit REGEDIT greifen wir darauf zu und beginnen mit den Saeuberungsarbeiten:
Suche den Schluessel:
HKEY_CURRENT_USERSoftware\Microsoft\Windows\CurrentVersion\Run
und loesche den Eintrag
Tok-Cirrhatus = "%User Profile%\Local Settings\Application Data\smss.exe"
oder einen Aehnlichen, der sich auf die smss.exe bezieht, sowie
Bron-Spizaetus = "C:WINDOWS\INF\norBtok.exe"
Desweiteren loeschen wir folgende Eintraege unter:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
- den Eintrag
DisableRegistryTools = "dword:00000001"
loeschen, sowie unter:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
-den Eintrag
NoFolderOptions = "dword:00000001"
loeschen, sowie unter:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
-den Eintrag
DisableCMD = "dword:00000000"
loeschen, womit wir nun auch wieder Zugriff auf die Kommandozeile erhalten.
5. Jetzt endlich koennen wir den Rest der Arbeit von einem Onlinescanner erledigen lassen, wie es etwa der von Bitdefender einer ist, erreichbar unter:
http://www.bitdefender.de
6. Neustart, Fertig.
Wenn Du Schwierigkeiten hast, die richtigen Eintraege in der Registrierdatenbank zu bestimmen, dann poste mir bitte, welche Du vorgefunden hast.
Von jedem zu bearbeitenden Eintrag ist zuvor eine Sicherungskopie anzufertigen, die nach erfolgreicher Entfernung des Schaedlings geloescht werden kann.
saludos
gnarff
Ja, exakt, dass meinte ich!
Der von Dir gemeldete Schaedling TR/Crypt.ULPM.Gen, ist auch unter folgenden Namen bekannt:
*Worm_Brontok_AM,
*W32/Rontokbro.gen@MM,
*W32.Rontokbro.B@mm,
*W32/BRONTOK-CV,
*Win32/BRONTOK@mm!0A1C
Es handelt sich hierbei um einen Wurm, der gleich mit 4 Payloads ins Haus kommt:
- Im Windows Explorer schaltet er die Funktion "Optionen" im Menue "Werkzeuge" ab.
- Er verhindert den Zugriff auf den Registrierdatenbank-Editor.
- Er verhindert den Zugriff auf cmd.exe, der Kommandozeile
- Er faehrt das System runter, bzw. rebootet es.
Dieser speicherresidente Schaedling verbreitet sich mittels von E-Mail Anhaengen und versendet sich dann weiter.
Diese Features machen es zur Fleissarbeit, dieses Schadprogramm von Hand vom Rechner zu entfernen.
Das geht wie folgt:
1. Die Systemwiederherstellung ausschalten.
2. Neustart und mit F8 in den abgesicherten Betriebsmodus gehen.
3. Zugriff auf den Registrierdatenbank-Editor wieder herstellen, das geht wie folgt beschrieben:
- Den Editor NOTEPAD oeffnen und folgendes eingeben:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\System]
"DisableRegistryTools" = dword:00000000
Diese Datei als NEU.REG auf dem Desktop abspeichern und danach mittels Doppelclick ausfuehren lassen.
Jetzt sollten wir wieder Zugriff auf den Registrierdatenbank-Editor haben
4. Mit REGEDIT greifen wir darauf zu und beginnen mit den Saeuberungsarbeiten:
Suche den Schluessel:
HKEY_CURRENT_USERSoftware\Microsoft\Windows\CurrentVersion\Run
und loesche den Eintrag
Tok-Cirrhatus = "%User Profile%\Local Settings\Application Data\smss.exe"
oder einen Aehnlichen, der sich auf die smss.exe bezieht, sowie
Bron-Spizaetus = "C:WINDOWS\INF\norBtok.exe"
Desweiteren loeschen wir folgende Eintraege unter:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
- den Eintrag
DisableRegistryTools = "dword:00000001"
loeschen, sowie unter:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
-den Eintrag
NoFolderOptions = "dword:00000001"
loeschen, sowie unter:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
-den Eintrag
DisableCMD = "dword:00000000"
loeschen, womit wir nun auch wieder Zugriff auf die Kommandozeile erhalten.
5. Jetzt endlich koennen wir den Rest der Arbeit von einem Onlinescanner erledigen lassen, wie es etwa der von Bitdefender einer ist, erreichbar unter:
http://www.bitdefender.de
6. Neustart, Fertig.
Wenn Du Schwierigkeiten hast, die richtigen Eintraege in der Registrierdatenbank zu bestimmen, dann poste mir bitte, welche Du vorgefunden hast.
Von jedem zu bearbeitenden Eintrag ist zuvor eine Sicherungskopie anzufertigen, die nach erfolgreicher Entfernung des Schaedlings geloescht werden kann.
saludos
gnarff
ein tool hilft auch SFix.exe zu finden auf
http://downloads.andymanchesta.com/RemovalTools/SDFix_ReadMe.html
entpacken,ebgesichrten modus starten, RunThis.bat starten fertig
http://downloads.andymanchesta.com/RemovalTools/SDFix_ReadMe.html
entpacken,ebgesichrten modus starten, RunThis.bat starten fertig
Hallo remus!
ein tool hilft auch SFix.exe zu finden auf
http://downloads.andymanchesta.com/RemovalTools/SDFix_ReadMe.html
entpacken,ebgesichrten modus starten,
RunThis.bat starten fertig
Woher weisst Du das, hast Du dieses Variante des Schaedlings analysiert?
Wenn nur SDFix [sehr gutes Tool uebrigends] benutzt wird, bleibt der Rechner u.U. weiterhin infiziert.
saludos
gnarff
ein tool hilft auch SFix.exe zu finden auf
http://downloads.andymanchesta.com/RemovalTools/SDFix_ReadMe.html
entpacken,ebgesichrten modus starten,
RunThis.bat starten fertig
Wenn nur SDFix [sehr gutes Tool uebrigends] benutzt wird, bleibt der Rechner u.U. weiterhin infiziert.
saludos
gnarff
also mein bruder hatte den virus auch und bei ihm hatte es geklappt als ich das durchführte
Hallo remus!
also mein bruder hatte den virus auch und bei
ihm hatte es geklappt als ich das
durchführte
Deswegen schrieb ich ja auch "u.U", das heisst "unter Umstaenden".
Es KANN funktionieren, MUSS es aber nicht.
Deswegen ist es besser den quaelenden, langen Weg zu gehen wie von mir oben beschrieben, damit man SICHER sein kann, dass der Schaedling auch wirklich entfernt wurde.
saludos
gnarff
also mein bruder hatte den virus auch und bei
ihm hatte es geklappt als ich das
durchführte
Es KANN funktionieren, MUSS es aber nicht.
Deswegen ist es besser den quaelenden, langen Weg zu gehen wie von mir oben beschrieben, damit man SICHER sein kann, dass der Schaedling auch wirklich entfernt wurde.
saludos
gnarff
