Heise meldet:MSN-Wurm macht die Runde

Hier im Forum ist der Miesling ja auch schon mehr als häufig aufgeschlagen.

Asuzug aus der Meldung:

Zitat:

Nutzer von Instant-Messenger-Systemen sollten Nachrichten von unbekannten Kontakten blockieren, sofern das System eine derartige Filterung zulässt. Rutscht dennoch eine solche Nachricht durch, sollten die Nutzer keinesfalls angebotenen Links folgen. Andernfalls laufen sie Gefahr, sich zukünftig eine Hintertür oder einen Trojaner zu installieren.

Bevor nicht das genaue Schadpotential bekannt ist, muss vom Worst Case ausgegangen werden. Für die Betroffenen bedeutet dies: Sicherheit kann es nur durch Formatieren und Neuaufsetzen geben, dabei sollte die Anleitung dringend und genau beachtet werden.

Bitte diesen Thread ausschließlich für neue Erkenntnisse zum Schädling nutzen; ausdrücklich nicht erwünscht sind Anfragen wie "Bin ich auch betroffen?" oder "Was soll ich jetzt bloss machen?"!

Gruß
Yopie

Zitat:

Zitat von Yopie

Bevor nicht das genaue Schadpotential bekannt ist, muss vom Worst Case ausgegangen werden. Für die Betroffenen bedeutet dies: Sicherheit kann es nur durch Formatieren und Neuaufsetzen geben, dabei sollte die Anleitung dringend und genau beachtet werden.

Wurde der Wurm mit einem eingeschränkten Benutzerkonto empfangen, kann der Worst Case natürlich nicht eintreten. Ob der Wurm dann überhaupt Schaden (in den Daten des Benutzers) anrichten kann, kann ich nicht beurteilen, Systemdateien sind jedenfalls in dem Fall nicht bedroht.

Gruß
Yopie

Joa, also ich sag nur
> implus.exe <
einfach MSN beenden und den Prozess beenden.

Dann im Verzeichnis "x:\programme\msn messenger" -> "implus.exe" löschen

fertig.

Dann nur noch neustarten und MSN starten:aplaus:

Also könnte mir jemand helfen bei mir kommt immer eine Nachricht vom msn messenger das die probeversion der emoticons abgelaufen ist und ich soll mich anmelden was ich aber nicht will.Nach dem ich diese dateien gelöscht habe kommt die nachricht jetzt tausend mal in der stunde.
ich bitte um hilfe da ich mich bei hijack gar nicht auskenne.

[EDIT:] /

Was genau hast du an

Zitat:

"Bitte diesen Thread ausschließlich für neue Erkenntnisse zum Schädling nutzen; ausdrücklich nicht erwünscht sind Anfragen wie "Bin ich auch betroffen?" oder "Was soll ich jetzt bloss machen?"!"

nicht verstanden?

Also: neuen Thread aufmachen, dort dein Problem ausführlich schildern, und ein komplettes Logfile posten.

Gruß
Yopie

Guten Morgen....


Ich kann mich irren, aber es scheint ein neuer Angriff des MSN-WURM unterwegs zu sein!

Wiedereinmal die alte Masche:

Zitat:

heute habe ich von einem Bekannten eine .rar datei über MSN Live Messenger bekommen, habe sie geöffnet und die darin enthaltene Datei ausgeführt.
Nach Ursachendorschung habe ich herausgefunden das dieser Trojaner eine MSN Textnachricht generiert und eine rardatei und versucht diese , allen personen in der MSN Liste unterzujubeln.

Zitat:

Hab ne Nachricht bekommen, "Hier mein heißes Fotoshooting" Und ein zip file zum verschicken.
Im ZIP-Archiv befand sich eine .scr datei.
Außerdem find ich im Task-Manager eine retadpu420.exe zweimal!! vor, die sich zwar beenden lässt, aber nach ner weile wieder erscheint!

Wie der Wurm arbeitet bzw. welche Veränderungen er am System vornimmt sind noch unbekannt. Bislang habe ich nur eine schädliche Datei ausmachen können:

Zitat:

O21 - SSODL: system32 - {1C4F06DD-A500-4D19-8583-6B0A8E715D46} - sysprinters.dll (file missing)

Alles weitere wird sich aber zeigen wie eine Bereinigung oder Formatierung des Systems vorzunehmen ist!

Gruß
Sunny

Hab dasselbe Problem...

Man ist das belastend. WAS kann man denn dagegen tun? Wenigstens so, dass kurzfristig nix mehr passiert.

Upps, sprry was schiefgelaufen :S...

@Sunny: diese sysprinters.dll löschen oder was damit tun?

Moin auch

wenn es sich bei der Datei zum Download um ...photoalbum-2007.rar...
handelt
und diese ausgeführt wurde,
kann ich nur empfehlen den Rechner nach dieser Anleitung --> Neuaufsetzen des Systems und anschliessende Absicherung!
neu auf zu setzen.

Die Onlineauswertung bei Virustotal hat u.a. ergeben :

AhnLab-V3 2007.6.30.0 06.29.2007 no virus found
AntiVir 7.4.0.37 06.29.2007 no virus found
Authentium 4.93.8 06.29.2007 no virus found
Avast 4.7.997.0 07.01.2007 no virus found
AVG 7.5.0.476 06.30.2007 no virus found
BitDefender 7.2 07.01.2007 DeepScan:Generic.Dropper.Delf.DBEEE130
CAT-QuickHeal 9.00 06.30.2007 no virus found
ClamAV devel-20070416 07.01.2007 no virus found
DrWeb 4.33 07.01.2007 Trojan.MulDrop.7373
eSafe 7.0.15.0 06.30.2007 no virus found
eTrust-Vet 30.8.3752 06.29.2007 no virus found
Ewido 4.0 07.01.2007 Backdoor.IRCBot.acd
FileAdvisor 1 07.01.2007 no virus found
Fortinet 2.91.0.0 07.01.2007 no virus found
F-Prot 4.3.2.48 06.29.2007 no virus found
F-Secure 6.70.13030.0 06.29.2007 no virus found
Ikarus T3.1.1.8 07.01.2007 Generic.Dropper.Delf
Kaspersky 4.0.2.24 07.01.2007 Backdoor.Win32.IRCBot.acd
McAfee 5064 06.29.2007 no virus found
Microsoft 1.2701 07.01.2007 no virus found
NOD32v2 2366 07.01.2007 no virus found
Norman 5.80.02 06.29.2007 no virus found
Panda 9.0.0.4 07.01.2007 no virus found
Sophos 4.19.0 06.28.2007 no virus found
Sunbelt 2.2.907.0 06.29.2007 no virus found
Symantec 10 07.01.2007 no virus found
TheHacker 6.1.6.140 06.28.2007 no virus found
VBA32 3.12.0.2 06.30.2007 no virus found
VirusBuster 4.3.23:9 06.30.2007 no virus found
Webwasher-Gateway 6.0.1 06.29.2007 Win32.Malware.gen (suspicious)

Aditional Information
File size: 33496 bytes
MD5: 20b654b81e9df1e4a377ee234b9305c0
SHA1: 4e88a19840848804d1c80faec06344560631ec3c

in einem anderen Board wurde freundlicherweise direkt auf diese Datei verlinkt

MFG

@nochdigger

Ist das auch die neuste Datei, bzw. was ist mit der sysprinters.dll welche auf allen Systemen bislang zusätzlich gefunden wurde?
Hat das andere Board diesbezüglich auch etwas geschrieben?

Habe leider keinen MSN, sonst würde ich selbst mal testen..

Moin Sunny,

ich habe sie mir nicht installiert nur bei Virustotal durchlaufen lassen,
darum hab ich ja auch den Namen der Datei genannt.
Der Betroffene aus dem anderen Board hatte gestern Abend einen Link über MSN von seiner Schwester bekommen und die Datei ausgeführt, jetzt sagte er verschicke er den Link zur Datei unfreiwillig.
(habe den Namen der Seite extra rauseditiert, kann aber nachgereicht werden)

MFG

Hallo liebes Forum,

da ich das selbe Problem habe wollte ich mich hier mal zu Wort melden.
Ich habe vor ca. 3 Stunden die gleiche Datei per MSN erhalten und dumm wie ich bin einfach geöffnet. Es handelte sich um die Datei "MyAlbum2007.zip.
Nun hat mein Avast-Scanner zwei Trojaner andauernt am Wickel.
Erst meldet sich immer C:\install\ghost.exe und soll angeblich eine Probe des Trojanischen Pferdes von "Win32:ISTBAR-AU2" enthalten. Nach dem löschen des Trojaners durch Avast kommt erstmal ein neues Fenster "Could not Found Fehlercode: 53"(oder so ähnlich). Kurz darauf erscheint eine neue Trojanerwarnung aber diemal handelt es sich um "Win32:Agent-HKJ [Trj]".
Sitzen tut der in "C:\Windows\retadpu420.exe\[UPX]"
Egal wie oft man diese beiden Trojaner löscht sie erscheinen immer wiede neu.
Oderner C:\install\... entsthet auch immer wieder neu.

PS: Im Verlauf der Zeit als ich diesen Text geschrieben habe kam ein dritter Trojaner hinzu: "Win32:Trojan-gen. {UPX!}" Ort:"C:\Users\Der_Freak\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\7CG1E3RB\istdownload[1].exe"

Ich wollte nur mal etwas Infos hier fallen lassen damit irgendjemand sich vielleicht der Sache annhemen kann. Ich werde definitiv mein Pc wieder Platt machen.

Hier mein Log:
Logfile of HijackThis v1.99.1
Scan saved at 14:51:58, on 01.07.2007
Platform: Unknown Windows (WinNT 6.00.1904) -> Windows Vista Ultimate x64 alle Updates
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\Program Files (x86)\Common Files\Acronis\Schedule2\schedhlp.exe
F:\Programme\Avast\ashDisp.exe
C:\Windows\SysWOW64\CTHELPER.EXE
C:\Windows\SysWOW64\CTXFIHLP.EXE
C:\Program Files (x86)\Analog Devices\Core\smax4pnp.exe
C:\Program Files (x86)\Common Files\LogiShrd\LComMgr\Communications_Helper.exe
C:\Program Files (x86)\Logitech\QuickCam10\QuickCam10.exe
F:\Programme\Acronis Vista\TrueImageMonitor.exe
F:\Programme\Acronis Vista\TimounterMonitor.exe
C:\Program Files (x86)\Common Files\Real\Update_OB\realsched.exe
C:\Windows\SysWOW64\CTXFISPI.EXE
F:\Programme\Logitech G7 Vista\SetPoint\x86\SetPoint32.exe
C:\Program Files (x86)\Common Files\Logishrd\LQCVFX\COCIManager.exe
C:\Program Files (x86)\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Windows\SysWOW64\explorer.exe
F:\Programme\Trillian Vista\trillian.exe
C:\Windows\SysWOW64\gsompl.exe
C:\Windows\SysWOW64\wmwkqt.exe
C:\Windows\SysWOW64\cdtgna.exe
C:\Windows\SysWOW64\havtox.exe
C:\Windows\SysWOW64\rubstv.exe
F:\PROGRA~1\FREEDO~1\fdm.exe
C:\Windows\SysWOW64\blyarv.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Windows\SysWOW64\gouhfc.exe
F:\Programme\Office 2003 Vista\OFFICE11\OUTLOOK.EXE
F:\Programme\Office 2003 Vista\OFFICE11\WINWORD.EXE
C:\Windows\SysWOW64\ldmiyt.exe
C:\Windows\SysWOW64\ythkgb.exe
C:\install\ghost.exe
C:\Windows\SysWOW64\msponn.exe
F:\Downloads Vista\HiJackThis\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = CURSE GANGSTA RAP
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - F:\Programme\Free Download Manager Vista\iefdmcks.dll
O4 - HKLM\..\Run: [avast!] F:\PROGRA~1\Avast\ashDisp.exe
O4 - HKLM\..\Run: [AsioThk32Reg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files (x86)\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files (x86)\Common Files\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files (x86)\Logitech\QuickCam10\QuickCam10.exe" /hide
O4 - HKLM\..\Run: [DAEMON Tools] "F:\Programme\DAEMON Tools Vista\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [TrueImageMonitor.exe] F:\Programme\Acronis Vista\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] F:\Programme\Acronis Vista\TimounterMonitor.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files (x86)\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ccleaner] "F:\Programme\CCleaner Vista\CCleaner\ccleaner.exe" /AUTO
O4 - Global Startup: Logitech SetPoint.lnk = ?
O8 - Extra context menu item: Alles mit FDM herunterladen - file://F:\Programme\Free Download Manager Vista\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://F:\Programme\Free Download Manager Vista\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://F:\Programme\Free Download Manager Vista\dllink.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\OFFICE~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\PROGRA~1\OFFICE~1\OFFICE11\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32\nlaapi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\napinsp.dll
O11 - Options group: [INTERNATIONAL] International*
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O21 - SSODL: system32 - {E78F46B0-3926-482B-AE13-1CD3B3C0B7A7} - sysprinters.dll (file missing)
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files (x86)\Common Files\Acronis\Schedule2\schedul2.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - F:\Programme\Avast\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - F:\Programme\Avast\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - F:\Programme\Avast\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - F:\Programme\Avast\ashWebSv.exe" /service (file missing)
O23 - Service: Creative Audio Pack Licensing Service - Creative Labs - C:\Program Files (x86)\Common Files\Creative Labs Shared\Service\APLicensing.exe
O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)
O23 - Service: @%SystemRoot%\ehome\ehstart.dll,-101 (ehstart) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files (x86)\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: LVCOMSer - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVCSer64.exe
O23 - Service: Process Monitor (LVPrcS64) - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: O&O Defrag - Unknown owner - C:\Windows\system32\oodag.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\Windows\system32\PnkBstrB.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)

@Der_Freak: Was soll das? Was hat Yopie denn geschrieben?

Zitat:

Zitat von Yopie

Bitte diesen Thread ausschließlich für neue Erkenntnisse zum Schädling nutzen; ausdrücklich nicht erwünscht sind Anfragen wie "Bin ich auch betroffen?" oder "Was soll ich jetzt bloss machen?"!

Zitat:

Zitat von cosinus

@Der_Freak: Was soll das? Was hat Yopie denn geschrieben?

Ich wollte nur schildern was für ein Weg der Trojaner bzw. dieser MSN-Angriff hinterlässt und somit nur evtl. helfen und nicht irgendjemanden mein Problem um die Ohren hauen.

Zitat:

Zitat von Der_Freak

Ich wollte nur schildern was für ein Weg der Trojaner bzw. dieser MSN-Angriff hinterlässt und somit nur evtl. helfen und nicht irgendjemanden mein Problem um die Ohren hauen.

Okay Das klang aber so nach einem Hilfeschrei