cythux
Goto Top

MSN Virus mit Anhang MyAlbum2007

Suche Möglichkeiten ohne Neuistallation vom Betriebsystem um den neuen MSN Virus loszuwerden,
da dieser sich angeblich sogar über den IRC Client ICQ vorhanden sein soll!!
Dieser Virus benutzt leider dazu noch die Backdoor Funktion und verteilt sich somit an alle weiter die
im MSN unterwegs sind, man kann die Datei zwar Löschen, aber sie kommt trotzdem immer wieder!

Viele Kunden haben den im moment drauf, und es werden immer mehr!!

Wirklich mal Hilfe von Fachleuten, habe mich schon jetzt über 3 Tage durchgeguggelt!!

Die Datei die dieser Virus/Trojaner hinterlässt ist "MyAlbum2007" und der Virus wird als WIN32:ISTbar-AU2 erkannt

Content-ID: 62976

Url: https://administrator.de/forum/msn-virus-mit-anhang-myalbum2007-62976.html

Ausgedruckt am: 23.12.2024 um 01:12 Uhr

gnarff
gnarff 04.07.2007 um 01:24:37 Uhr
Goto Top
Hallo Cythux,

dieser Schaedling ist auch unter dem Namen Troj/Istbar-DG bekannt.
Dieser Trojaner ist an sich nichts neues, es gibt Ihn schon seit drei Jahren.
In den letzten Tagen sind allerdingsgs neue Varianten entdeckt worden, Sophos bietet gegen oben genannten Trojaner erst seit gestern eine Signatur an.

Um Dir konkret sagen zu koennen, was der Schaedling macht und wie man ihn wieder los wird, muesstest Du mir Diesen komprimiert in einem *.zip oder *.tar - Format einsenden an: ceo_at_ampersanded.com
Wenn Du das moechtest, dann melde mir das VORHER via PN an!

In der vom Schaedling hinterlassenen Datei, stehen alle Angaben betreffend der nachfolgend runtergeladenen oder noch nachzuladenen Schadprogramme verzeichnet; sowie deren Download-Adressen, das sollte dann in etwa so aussehen:
|5|20050406|
ts|http://URLHIER/DR_S/bp/as_8_new.exe|1|bs_8_new.exe|1.0|1|
adsh|http://URLHIER/DR_S/bp/afita.exe|2|afita.exe|1.2|1|
sfitb|http://URLHIER/DR_S/bp/SYSsfita.dll|3|SYSsfita.dll|1.0|2
ezu|http://URLHIER/DR_S/bp/wzStub.exe|3|wzStub.exe|1.0|1|
sfisb|http://URLHIER/DR_S/bp/ReplaceSearch.dll|3|ReplaceSearch
sfisb|.dll|1.0|2|

Du kannst mir hier mal dein HijackThis Log posten, download unter:
http://www.merijn.org/programs.php#hijackthis

saludos
gnarff
gnarff
gnarff 05.07.2007 um 19:43:39 Uhr
Goto Top
Sehr schoene Arbeit!
Haette diese Datei nur zu gern selbst gehabt, da ich mich beruflich mit Malware- Reverse Engineering befasse.
saludos
gnarff
PietKoeln
PietKoeln 31.07.2007 um 14:31:55 Uhr
Goto Top
Habe jetzt auch genau das gleich problem kan mir einer vieleicht helfen damit ich das wieder weg bekomme antivir finded bei jeden suchlaufm was neues habe die datei allerdings schon wieder gelöscht face-sad
gnarff
gnarff 31.07.2007 um 15:33:09 Uhr
Goto Top
Hallo Piet!

Habe jetzt auch genau das gleich problem kan
mir einer vieleicht helfen damit ich das
wieder weg bekomme antivir finded bei jeden
suchlaufm was neues habe die datei allerdings
schon wieder gelöscht face-sad

WAS findet AntiVir?
saludos
gnarff
PietKoeln
PietKoeln 31.07.2007 um 18:01:18 Uhr
Goto Top
TR/Crypt.ULPM.Gen' [TR/Crypt.ULPM.Gen

wenn du das meinst
gnarff
gnarff 31.07.2007 um 19:47:38 Uhr
Goto Top
Hallo Piet!

Ja, exakt, dass meinte ich!
Der von Dir gemeldete Schaedling TR/Crypt.ULPM.Gen, ist auch unter folgenden Namen bekannt:
*Worm_Brontok_AM,
*W32/Rontokbro.gen@MM,
*W32.Rontokbro.B@mm,
*W32/BRONTOK-CV,
*Win32/BRONTOK@mm!0A1C

Es handelt sich hierbei um einen Wurm, der gleich mit 4 Payloads ins Haus kommt:
- Im Windows Explorer schaltet er die Funktion "Optionen" im Menue "Werkzeuge" ab.
- Er verhindert den Zugriff auf den Registrierdatenbank-Editor.
- Er verhindert den Zugriff auf cmd.exe, der Kommandozeile
- Er faehrt das System runter, bzw. rebootet es.

Dieser speicherresidente Schaedling verbreitet sich mittels von E-Mail Anhaengen und versendet sich dann weiter.
Diese Features machen es zur Fleissarbeit, dieses Schadprogramm von Hand vom Rechner zu entfernen.
Das geht wie folgt:
1. Die Systemwiederherstellung ausschalten.
2. Neustart und mit F8 in den abgesicherten Betriebsmodus gehen.
3. Zugriff auf den Registrierdatenbank-Editor wieder herstellen, das geht wie folgt beschrieben:
- Den Editor NOTEPAD oeffnen und folgendes eingeben:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\System]
"DisableRegistryTools" = dword:00000000

Diese Datei als NEU.REG auf dem Desktop abspeichern und danach mittels Doppelclick ausfuehren lassen.
Jetzt sollten wir wieder Zugriff auf den Registrierdatenbank-Editor haben

4. Mit REGEDIT greifen wir darauf zu und beginnen mit den Saeuberungsarbeiten:
Suche den Schluessel:
HKEY_CURRENT_USERSoftware\Microsoft\Windows\CurrentVersion\Run
und loesche den Eintrag
Tok-Cirrhatus = "%User Profile%\Local Settings\Application Data\smss.exe"
oder einen Aehnlichen, der sich auf die smss.exe bezieht, sowie
Bron-Spizaetus = "C:WINDOWS\INF\norBtok.exe"

Desweiteren loeschen wir folgende Eintraege unter:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
- den Eintrag
DisableRegistryTools = "dword:00000001"
loeschen, sowie unter:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
-den Eintrag
NoFolderOptions = "dword:00000001"
loeschen, sowie unter:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
-den Eintrag
DisableCMD = "dword:00000000"
loeschen, womit wir nun auch wieder Zugriff auf die Kommandozeile erhalten.

5. Jetzt endlich koennen wir den Rest der Arbeit von einem Onlinescanner erledigen lassen, wie es etwa der von Bitdefender einer ist, erreichbar unter:
http://www.bitdefender.de

6. Neustart, Fertig.

Wenn Du Schwierigkeiten hast, die richtigen Eintraege in der Registrierdatenbank zu bestimmen, dann poste mir bitte, welche Du vorgefunden hast.
Von jedem zu bearbeitenden Eintrag ist zuvor eine Sicherungskopie anzufertigen, die nach erfolgreicher Entfernung des Schaedlings geloescht werden kann.

saludos
gnarff
17308
17308 01.08.2007 um 12:16:55 Uhr
Goto Top
ein tool hilft auch SFix.exe zu finden auf

http://downloads.andymanchesta.com/RemovalTools/SDFix_ReadMe.html

entpacken,ebgesichrten modus starten, RunThis.bat starten fertig
gnarff
gnarff 01.08.2007 um 17:33:03 Uhr
Goto Top
Hallo remus!

ein tool hilft auch SFix.exe zu finden auf

http://downloads.andymanchesta.com/RemovalTools/SDFix_ReadMe.html

entpacken,ebgesichrten modus starten,
RunThis.bat starten fertig

Woher weisst Du das, hast Du dieses Variante des Schaedlings analysiert?
Wenn nur SDFix [sehr gutes Tool uebrigends] benutzt wird, bleibt der Rechner u.U. weiterhin infiziert.

saludos
gnarff
17308
17308 02.08.2007 um 08:23:08 Uhr
Goto Top
also mein bruder hatte den virus auch und bei ihm hatte es geklappt als ich das durchführte
gnarff
gnarff 02.08.2007 um 15:01:10 Uhr
Goto Top
Hallo remus!

also mein bruder hatte den virus auch und bei
ihm hatte es geklappt als ich das
durchführte

Deswegen schrieb ich ja auch "u.U", das heisst "unter Umstaenden".
Es KANN funktionieren, MUSS es aber nicht.
Deswegen ist es besser den quaelenden, langen Weg zu gehen wie von mir oben beschrieben, damit man SICHER sein kann, dass der Schaedling auch wirklich entfernt wurde.

saludos
gnarff