Hi,

einer unser User hat gestern den Anhang einer E-Mail geöffnet, die in diesem Artikel beschrieben sind:

http://tech.de.msn.com/sicherheit/news_artikel.aspx?cp-documentid=11250345:

>> Zurzeit werden Spam-artige Mails verbreitet, die vorgeblich von einer
Inkassofirma kommen und deren Anhang ein Trojanisches Pferd enthält.
Antivirus-Software ist derzeit noch nicht im Bilde.<<

F-Secure identifiziert ihn mittlerweile als Worm:W32/AutoRun.KD. Nach dem, was ich davon mitbekommen habe, hat der Wurm den Ordner

C:\Progamme\Microsoft Common

und darin eine Datei mit dem Namen

svchost.exe

erstellt. F-Secure hat die Dateien umbenannt. Wobei ich mir nicht sicher bin, wann genau das passiert ist - denn heute morgen beim Hochfahren des Rechners startete auf einmal der Explorer nicht mehr - explorer.exe weg! Da liegt die Vermutung nahe, dass das die Arbeit des Wurms ist und dass F-Secure zu spät gekommen ist.

Weiß jemand, wo man nähere Informationen über den Wurm bekommt? Ich könnte zwar das Notebook ans Netz nehmen und die explorer.exe einfach wieder kopieren. Allerdings weiß ich nicht, was der Wurm noch so auf dem Notebook verschandelt hat. Mit einer LiveCD wird es leider schwieriger, da die Festplatte des Notebooks komplett mit Safeguard Easy verschlüsselt ist.

Gruß
luke

Hab noch mal ein bisschen gegoogelt und bin jetzt auf folgende Beschreibung von Avira (da heißt der Wurm anders) gestoßen:

http://www.avira.com/en/threats/sect....ibill.bd.html

Mal sehen.

Übrigens ist die Explorer.exe nicht weg, sondern sie kann nur nicht gestartet werden. Versuche mal das, was auf der Seite steht.

/edit: Problem war, dass durch den Registry-Eintrag

Registry The following registry key is added:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options\explorer.exe]
• "Debugger"="%PROGRAM FILES%\Microsoft Common\svchost.exe]

nicht mehr die explorer.exe gestartet, sondern versucht wurde, die infizierte svchose.exe zu starten. Hab den Eintrag gelöscht, jetzt funktioniert wieder alles wie gewünscht.