ok, meine freundin war wohl eine der ersten die infiziert wurde.

fakt ist: dieses programm schreibt unterschiedliche sätze die einen dazu ermutigen sollen das archiv anzunehmen.
fakt ist: dieses ist offenbar nicht zwangsweise eine .zip datei.

Zitat:

Wer diese DATEI (myalbum2007.zip) gleich gelöscht hat, sollte keinerlei Infektionen zu befürchten haben!

dessen bin ich mir nicht sicher.
hab das ganze prozedere mit meiner freundin durchgekaut, keine sonderlich verdächtigen prozesse, keine neuen starteinträge in der registry und alle msn messenger relevanten dateien sind in ihrer intigrität.weiter werden auch keine neuen dateien im &SysRoot% + \System32 erstellt.

nachdem ich das gestern alles festgestellt hatte und ihre datei natürlich NICHT angenommen habe, habe ich einfach mal spaßeshalber meinen rechner in den abgesicherten modus geschickt und gescannt, worauf antivir und der security taskmanager auf einmal 2 verdächtige dateien gefunden hat,
zum einen eine svchosl.exe (analyse ergab keylogger eigenschaften und das senden von daten an eine ip 87.xx.xxx.xxx) in ..\System32, die sich jedes mal geschlossen hat wenn ich in besagtes verzeichnis gewechselt bin, und eine explorers.exe die sich problemlos löschen lies.
wie auch immer habe meinen rechner lieber direkt neu aufgesetzt und bin jetzt offenbar wieder frei.
dennoch sollte man vorsichtig sein, ich bin mir nicht sicher ob dieser msn wurm nicht evtl die routine besitzt nur eine datei anzubieten, daraus irgendwie die ip des anderen peers rausbekommt, dann evtl eine DOS attacke oder sonst irgendwas startet um den ein oder anderen prozess einzuschleusen.

WENN ihr eine solche datei namens Mypictures2007 oder Myalbum2007 angeboten bekommen habt solltet ihr auf jeden fall egal was ihr gemacht habt in den abgesicherten modus wechseln und dort mal scannen, speziell c:\WINDOWS.

was ich mir auch denken könnte dass dieser wurm sozusagen eine "bestrafungsroutine" besitzt, d.h. wenn man ihn nicht annimmt, lädt er halt einfach was anderes auf den zielhost, könnte mich aber natürlich täuschen, wovon ich mir auch recht sicher bin.

musste einfach mal meinen beitrag leisten.
so long, das Huhn

Zitat:

Zitat von Huhn

fakt ist: dieses ist offenbar nicht zwangsweise eine .zip datei.

Woher weißt du?

Zitat:

zum einen eine svchosl.exe (analyse ergab keylogger eigenschaften und das senden von daten an eine ip 87.xx.xxx.xxx) in ..\System32 und eine explorers.exe die sich problemlos löschen lies.

Die beiden müssen nicht mit dem aktuellen Wurm zu tun haben.
svchosl.exe könnte auch er gewesen sein ("stiehlt Daten", "speichert Tastenfolgen").

Zitat:

WENN ihr eine solche datei namens Mypictures2007 oder Myalbum2007 angeboten bekommen habt solltet ihr auf jeden fall egal was ihr gemacht habt in den abgesicherten modus wechseln und dort mal scannen, speziell c:\WINDOWS.

Ja. Das ist sicher nicht die schlechteste Idee, vorausgesetzt, der Scanner erkennt das Ding.

Hallo Leute,

ist doch ganz einfach. Warum kontaktiert man nicht vorher den Absender der mail (Freund/Freundin) und geht sicher, das er/sie eine zip. Datei zugeschickt hat? Würde nie eine Datei einfach öffnen, wenn ich nicht vorher bescheid weiß!

Einfach mit einer gesunden Portion Misstrauen im world wide web bewegen!

Gruss

wie meisten wird ja empfohlen neu aufsetzen - nun ja diese antwort ist sicher nie verkehrt andergerum auch nicht wirklich befriedigend.

meine erkentniss zum wurm den ich geöffnet hatte ist wie folgt :

habe ihn geöffnet und im laufenden windows escan + antivir laufen lassen und festgestellt das sich 4 schädliginge eingenisstet haben erst einer und so weiter.

danach bin ich sofort in den abgesicherten modus habe dort folgendes laufen lassen :

avg
escan
antivir
und easy clean reg cleaner temp remove etc.

zusätzlich habe ich die sysprinters.dll manuel gelöscht.


danach bin ich noch einmal in windows habe dort den ganzen kram erneut laufen lassen . es wurden keine viren/würmer mehr gefunden.

stellt sich mir die frage bin ich nun frei? naja die meisten werden wohl wieder auf antwort 1 gehen neuaufsetzen

Zitat:

Zitat von alexander72

stellt sich mir die frage bin ich nun frei?

Wenn du den ganzen Thread gelesen hast (der übrigens zur Diskussion da ist, nicht zur Lösung individueller Probleme), sollte deine Frage beantwortet sein.

Zitat:

Zitat von Franz1968

Wenn du den ganzen Thread gelesen hast (der übrigens zur Diskussion da ist, nicht zur Lösung individueller Probleme), sollte deine Frage beantwortet sein.

meine post ist ein beitrag zur diskussion - ich habe nur dargestellt was ich gemacht habe. und nun bin ich viren/würmer frei oder auch nicht das ist die allgemeine frage.

wenn du natürlich nur eine antwort zulässt "Neuaufsetzen" dann bräuchten wir dieses Forum eigentlich nicht oder sehe ich das falsch.

Antworten "zulassen"? Wer lässt Antworten zu (oder verbietet sie)? Ich jedenfalls nicht.
Für die Diskussion über die

Zitat:

allgemeine frage

ob du "virenfrei" bist, eröffne bitte einen eigenen Thread, denn das ist hier so üblich.

Inzwischen gibt's auch was von Sophos:
W32/IRCBot-WV - Worm - Sophos threat analysis

Zitat:

Zitat von TobiABG

Joa, also ich sag nur
> implus.exe <
einfach MSN beenden und den Prozess beenden.

Dann im Verzeichnis "x:\programme\msn messenger" -> "implus.exe" löschen

fertig.

Dann nur noch neustarten und MSN starten:aplaus:

bei mir gibt es solche datei garnicht im msn ordner....

und nun...

bohh dieser shit virus....

Zitat:

Zitat von Duplo

bei mir gibt es solche datei garnicht im msn ordner....

und nun...

bohh dieser shit virus....

Auch wirst du "retadpu420.exe" und eine "winpop.exe" nicht auf deinem Rechner finden, jedoch sind die Dateien mit großer Wahrscheinlichkeit da.

Also wie schon gesagt, hast du die Datei gleich gelöscht, ist alles gut, hast du sie geöffnet, bleibt dir wohl oder über nur eine Neuinstallation.

Sunny

Zitat:

Zitat von [Gc]Sunny

Auch wirst du "retadpu420.exe" und eine "winpop.exe" nicht auf deinem Rechner finden, jedoch sind die Dateien mit großer Wahrscheinlichkeit da.

Also wie schon gesagt, hast du die Datei gleich gelöscht, ist alles gut, hast du sie geöffnet, bleibt dir wohl oder über nur eine Neuinstallation.

Sunny

omg neuinstallation.... das heiß das alles wech ist was jetzt drauf ist....

aber wenn die vorhanden sind muss man die doch finden i-wie.....

sorry für doppelpost...bitte löschen !!

Zitat:

Zitat von Franz1968

Woher weißt du?


Die beiden müssen nicht mit dem aktuellen Wurm zu tun haben.
svchosl.exe könnte auch er gewesen sein ("stiehlt Daten", "speichert Tastenfolgen").

sorry, aber mit verlaub gesagt bezweifel ich gerade dass meine erklärung nicht akkurat genug war.
w32.rbot.~~~ hätte mein virenscanner erkannt. die teile die ich da gefunden hab waren definitiv neu.
und zu der .zip geschichte nur deshalb, weil weiter vorne in diesem thread jemand von einer .rar datei erzählt hat.

kommt mir das nur so vor oder sind die virenauthoren in den letzten tagen/wochen ein wenig fleißiger als sonst..?

Zitat:

und zu der .zip geschichte nur deshalb, weil weiter vorne in diesem thread jemand von einer .rar datei erzählt hat.

Hm, ich wars zwar nicht aber es sollte doch klar sein, dass ein und derselbe Schädling in unterschiedlichen Formaten aufkreuzen kann. Es geht ja nicht darum, dass die ZIP-oder RAR-Datei gefährlich ist (*), denn ZIP/RARsind ja nur Container, die Schadcode beinhalten können!


--
(*)
Es sei denn, die RAR/ZIP-Datei ist gezielt manipuliert, um Schwachstellen in älteren Entpackern auszunutzen, das ist aber jetzt ne andere Baustelle...
--

Diese scheiß Viren!!!!!!

Viele sind schon betroffen davon und meinen, es wäre immer en Witz!!!

Laut Infos aus dem Inet könnte man den Virus durch Miranda IM unterbinden.

Zum Nach lesen

gulli: Vorsicht: MSN Virus verteilt sich über den Microsoft Messenger von Taiwan aus