Wollte eben was mit dem Microsoft Baseline Security Analyzer über prüfen u hab festgestellt das alle gifs mit koule jehova überschrieben wurden...

ist das ein Virus?

thanx schonmal im vorraus

Wahrscheinlich, allerdings gibt es dazu wohl noch nicht viel Informationen.
Lass mal E-Scan wie beschrieben durchlaufen, nach einem Update natürlich:

http://www.trojaner-board.de/42731-escan-anleitung.html

Und ein Hijackthis-Log schadet sicher auch nix.

hab ein paar infos bei chip.de gefunden

"Hab gerade den Kampf gegen "WordInfo.doc" gewonnnen, glaube ich zumindest.

Ich hatte zusätzlich noch die "nette" Datei mssys.exe auf meinem Rechner. Obwohl kein aktueller Viren-Scanner (Norton 2004 & AntiVir 6.27) diese als schädlich erkannt hat und ich auch alles andere als ein Experte bin, denke ich, dass diese Datei das Übel war. Die Datei wurde bei jedem Start von XP ausgeführt, allerdings nicht im abgesicherten Modus.

Sie lag bei mir unter C:\WINDOWS\mssys.exe. Zusätzlich gabs noch einen Registry-Eintrag unter HEKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.
Beide habe ich gelöscht und beide Dateien (WordInfo.doc & mssys.exe) kamen nicht mehr wieder.

Als "Bonus" mache ich die mssys.exe auch noch für folgende Veränderungen an meinem System verantwortlich:

- viele (komischerweise nicht alle) GIF-Dateien im System werden mit einer Graphik überschrieben, die als Inhalt "Koule Jehova" hat und 1 KB groß ist

- auch wieder viele, nicht alle, TXT-Dateien werden auf den Status versteckt gesetzt und es wird eine EXE-Datei mit dem gleichem Namen erzeugt. Diese Datei ist 348 KB groß und trägt das Erstellungsdatum 20.08.2000 15:30. Ich gehe davon aus, dass diese Dateien Kopien der mssys.exe darstellen.

Fazit: Ob es an der o.g. mssys.exe tatsächlich lag, kann ich nicht sagen. Allerdings sollte jeder, der die Datei "WordInfo.doc" auf seinem Rechner findet, mal schauen, ob nicht noch mehr (siehe oben) fremde Dateien drauf sind. Das Überschreiben der GIF-Dateien ist echt beschissen."

" hallo, mich hat der kuole jehova auch erwischt.
alle gif dateien sind geändert
alle txt dateien sind gleichnamig zu exe mit 348k geworden
auch .log dateien hats erwischt
msdosdrv.exe und mssys.exe werden immer erneuert
alle daten sind am 03.08. geändert worden
anfang september wurde er wieder aktiv
ich habe mal das systemdatum auf 01.10 gestellt und es ging wieder los
kein virenscanner hat angeschlagen norton , kasparsky, thrust antivirus

im internet ist kaum was zu finden also brauchen wir jede info

wer kann mehr infos geben oder sogar gegenmassnahmen bekannt geben.

ich schätze der rechner muß platt gemacht werden aber da bleibt das risiko der ursprungsdatei auf eventuellen datensicherungen"


"hab dfas gleiche proplem bei mir wird auch immer bei allesn gif. datein Koule Jehova(stirb\to Jesus\Gott soll das auf deutsch heißen kommt aus dem Finischen)
beim suchen hab ich "mssys.exe" gefunden aber nicht
"WordInfo.doc"
DAs einzige was dagegen lhelfen soll währe formatieren habs noch nicht gemacht hoffe das es auch ne andere lößung gibt"

Ja, das habe ich auch gelesen, hast du denn diese mssys bei dir? Eigentlich gehört die zu einem bereits bekannten Schädling. Mach mal bitte, was ich vorgeschlagen habe.

Ne hab keine mssys. Hab am Sa mal nen e-scan gemacht im abgesicherten modus. Es wurden 600 dateien gefunden (nehme an das es die .txt dateien waren die automatisch als exe umgewandelt wurden)
gefunden über escan wurde: backdoor.optix.pro13
win32.bacros.a" virus

hoffe das dir das ein wenig weiterhilft

Der "Vorgänger" konnte bereits das anrichten:

http://securityresponse1.symantec.co...tixpro.12.html

Das System ist offensichtlich kompromittiert, du solltest am besten neu installieren.

1.) Neu formatieren und installieren (Anleitung: http://8ung.at/chemikers-home/SETUP.html)
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren (http://www.microsoft.com/germany/ms/...windowsxp.mspx)
4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org
5.) Danach zuerst www.windowsupdate.com besuchen (dies wöchentlich wiederholen) und alle Updates installieren oder alternativ vorher noch Service Pack 2 downloaden oder von CD installieren
6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera, Firefox oder Mozilla umsteigen
7.) Browser und Emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail)sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Java-Script, Active-X, VBS)
8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können (http://virgolamobile.50megs.com/spyware/spyware.htm http://www.spywareguide.com/spywarelist.html), besondere Vorsicht ist bei allen erotischen und Warez-Seiten geboten
9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar www.free-av.de ), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen
10) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern zuerst informieren, ob sie Spy/Adware enthalten (siehe 8.)
11) Bei Infektion mit Trojanern/Keyloggern: keine alten Passworte wiederverwenden, sondern alle neu anlegen

Unbedingt auch Punkt 11 beachten, da dieser Trojaner wahrscheinlich auch sehr gezielt Passworte ausspioniert.