Sehr ungewöhnliches Problem mit Virus W32 YahLover.Worm
benötige dringend Hilfe da es sich um ein Firmennetzwerk handelt und dieses zu 75% betroffen ist.
Hallo,
ich bin als User hier neu, habe mir jedoch schon oft per google die passenden Threads rausgesucht, wenn ich mal eine Frage. Doch
nun ist es soweit, dass ich mich selbst anmelden musste und einen Beitrag erstellt habe, da ich einfach nicht weiter komme und
mit meinem Latein am Ende bin.
Zuerst einmal mein Problem im Detail:
Ich betreue als IT Dienstleister eine Firma die mich heute anrief und mir sagte, sie hätten eine Virus Warnmeldung von McAfee
bekommen. Die Meldung besagt, dass es sich um den Virus "W32/YahLover.Worm" handelt und das McAfee eine "exe" gelöscht hat.
Soweit so schön! Doch diese Meldung kommt ca. 50x nacheinander, jedoch immer eine andere "exe".
Nun zum ungewöhnlichen:
Egal welches Programm ich benutze um nach dem Wurm zu suchen, das Ergebnis ist immer das Gleiche. Es wird keine infizierte Datei
gefunden. Egal ob ich mit McAfee, Panda Online Scanner, Ewido Online Scanner, F-Secure oder sonstigem danach suche.
Jedoch erscheint nebenher immer wieder die Meldung mit den von McAfee gelöschten "exe" Files. So nach ca. 50 Meldungen ist
ungefähr 2 - 5 Minuten Ruhe, dann geht es mit den Meldungen wieder weiter. Doch wieder handelt es sich um unterschiedliche "exe"
Files. Auch alle anderen Dateien, die der YahLover Wurm laut AntiViren Herstellern erstellt sind nicht vorhanden. Keine der sonst zur
Entfernung angegebenen Registry Key's sind vorhanden. Nichts deutet darauf hin, dass dieser Wurm wirklich da ist, außer eben die
McAfee Meldungen.
Laut Herstellern überträgt sich der Wurm per Messenger, Email und P2P. In den Emails kann ich nichts finden und mir wurde versichert,
dass es keine ungewöhnlichen Emails gab. Instant Messaging ist nirgend installiert (außer Hamachi, was aber meiner Meinung nach kein
IM ist). Ebenso gibt es keine P2P Programme in diesem Netz.
Das einzige was ich finden konnte war die Yahoo Toolbar, diese habe ich deinstalliert.
Ich bin nun mit meinem Wissen am Ende und hoffe darauf, dass jemandem von euch ein Lösungsansatz einfällt.
Danke für's lesen.
Gruß
Andre
Hallo,
ich bin als User hier neu, habe mir jedoch schon oft per google die passenden Threads rausgesucht, wenn ich mal eine Frage. Doch
nun ist es soweit, dass ich mich selbst anmelden musste und einen Beitrag erstellt habe, da ich einfach nicht weiter komme und
mit meinem Latein am Ende bin.
Zuerst einmal mein Problem im Detail:
Ich betreue als IT Dienstleister eine Firma die mich heute anrief und mir sagte, sie hätten eine Virus Warnmeldung von McAfee
bekommen. Die Meldung besagt, dass es sich um den Virus "W32/YahLover.Worm" handelt und das McAfee eine "exe" gelöscht hat.
Soweit so schön! Doch diese Meldung kommt ca. 50x nacheinander, jedoch immer eine andere "exe".
Nun zum ungewöhnlichen:
Egal welches Programm ich benutze um nach dem Wurm zu suchen, das Ergebnis ist immer das Gleiche. Es wird keine infizierte Datei
gefunden. Egal ob ich mit McAfee, Panda Online Scanner, Ewido Online Scanner, F-Secure oder sonstigem danach suche.
Jedoch erscheint nebenher immer wieder die Meldung mit den von McAfee gelöschten "exe" Files. So nach ca. 50 Meldungen ist
ungefähr 2 - 5 Minuten Ruhe, dann geht es mit den Meldungen wieder weiter. Doch wieder handelt es sich um unterschiedliche "exe"
Files. Auch alle anderen Dateien, die der YahLover Wurm laut AntiViren Herstellern erstellt sind nicht vorhanden. Keine der sonst zur
Entfernung angegebenen Registry Key's sind vorhanden. Nichts deutet darauf hin, dass dieser Wurm wirklich da ist, außer eben die
McAfee Meldungen.
Laut Herstellern überträgt sich der Wurm per Messenger, Email und P2P. In den Emails kann ich nichts finden und mir wurde versichert,
dass es keine ungewöhnlichen Emails gab. Instant Messaging ist nirgend installiert (außer Hamachi, was aber meiner Meinung nach kein
IM ist). Ebenso gibt es keine P2P Programme in diesem Netz.
Das einzige was ich finden konnte war die Yahoo Toolbar, diese habe ich deinstalliert.
Ich bin nun mit meinem Wissen am Ende und hoffe darauf, dass jemandem von euch ein Lösungsansatz einfällt.
Danke für's lesen.
Gruß
Andre
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 73382
Url: https://administrator.de/forum/sehr-ungewoehnliches-problem-mit-virus-w32-yahlover-worm-73382.html
Ausgedruckt am: 26.04.2025 um 05:04 Uhr
3 Kommentare
Neuester Kommentar
vielleicht hilft Dir diese Anleitung weiter?
http://de.trendmicro-europe.com/consumer/vinfo/encyclopedia.php?LYstr=V ...
Gruß Christian
http://de.trendmicro-europe.com/consumer/vinfo/encyclopedia.php?LYstr=V ...
Gruß Christian
Ich habe mir jetzt die letzten 2 Tage einen abgebrochen um dem Fehler oder besser gesagt Virus auf die Spur zu kommen, doch leider bisher ohne Erfolg.
Ich habe mittlerweile 6 verschiedene Scan Engines ausprobiert. Die meisten haben ein paar Tracking Cookies gefunden und diese gelöscht, das war aber nicht der Virus. Desweiteren habe ich festgestellt, dass der Virus immer wieder .exe Dateien anlegt, die genaus so heißen wie der Ordner in dem sie sich befinden. Beispiel:
C:\Programme\AVM\avm.exe
C:\Programme\new_folder\new_folder.exe
C:\Temp\temp.exe
usw......
Was könnte das sein? Diese Dateien werden meiner Meinung nach erstellt und dann gleich vom laufenden AntiViren Programm erkannt und wieder gelöscht, das aber macht den/die Rechner so langsam, dass man kaum noch richtig arbeiten kann.
Was fällt euch dazu ein?
Gruß
Andre
Ich habe mittlerweile 6 verschiedene Scan Engines ausprobiert. Die meisten haben ein paar Tracking Cookies gefunden und diese gelöscht, das war aber nicht der Virus. Desweiteren habe ich festgestellt, dass der Virus immer wieder .exe Dateien anlegt, die genaus so heißen wie der Ordner in dem sie sich befinden. Beispiel:
C:\Programme\AVM\avm.exe
C:\Programme\new_folder\new_folder.exe
C:\Temp\temp.exe
usw......
Was könnte das sein? Diese Dateien werden meiner Meinung nach erstellt und dann gleich vom laufenden AntiViren Programm erkannt und wieder gelöscht, das aber macht den/die Rechner so langsam, dass man kaum noch richtig arbeiten kann.
Was fällt euch dazu ein?
Gruß
Andre
Hier handelt es sich nicht wie zunächst von Dir erwartet, um den W32 YahLover.Worm sondern um den W32/Aegi-A oder einer Variante dessen.
1. Schalte die Systemwiederherstellung ab
2. Ueberpruefe die Einträge unter HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
der betreffende: "ExecLoader =" Schlüssel sollte gelöscht werden
3. Onlinscanner in Anspruch nehmen
saludos
gnarff
1. Schalte die Systemwiederherstellung ab
2. Ueberpruefe die Einträge unter HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
der betreffende: "ExecLoader =" Schlüssel sollte gelöscht werden
3. Onlinscanner in Anspruch nehmen
saludos
gnarff
