Trojaner-Board - ICQ Virus/Trojaner

Trojaner-Board (https://www.trojaner-board.de/)

- Diskussionsforum (https://www.trojaner-board.de/diskussionsforum/)

- - ICQ Virus/Trojaner (https://www.trojaner-board.de/34468-icq-virus-trojaner.html)

ICQ Virus/Trojaner

Der Trojaner/Schädling verschickt selbständig die Message (siehe Code)

Code:

check this

h**p://****.seruijingandeshijinpos.com/1/7339/

http://www.viruslist.com/de/search?VN=Email-Worm.Win32.Warezov.et

was sagt ihr dazu, einige kollegen von mir haben den link geöffnet ...
(link zensiert - anstelle der **** stehen eigentlich 4 zahlen )

Möchtest Du darüber diskutieren oder hast das falsche Forum erwischt?

jo ich möchte darüber diskutieren, will eure meinung wissen, aber auch warnen ...

Zitat:

Zitat von riC (Beitrag 244436)

was sagt ihr dazu, einige kollegen von mir haben den link geöffnet ...
(link zensiert - anstelle der **** stehen eigentlich 4 zahlen )

Klicken, ohne nachzudenken.:D :headbang:

Zitat:

Zitat von cad (Beitrag 244443)

Klicken, ohne nachzudenken...

leider mehren sich die anfragen auf dem board, die das gleiche problem wie der to haben :(

GUA

Zitat:

Zitat von riC (Beitrag 244436)

was sagt ihr dazu, einige kollegen von mir haben den link geöffnet ...

Was soll man dazu groß sagen, außer dass betroffene System neu aufgesetzt werden sollten...

Code:

 File:           picture.pif

Status:         INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)

MD5         46cb99fbb8844d0010e2f6d05866cf05

Packers detected:         PE_PATCH.UPX, UPX
 

Scanner results

AntiVir         Found WORM/Stration.Gen

ArcaVir         Found Worm.Warezov.Fh

Avast         Found Win32:Warezov-ACI

AVG Antivirus         Found I-Worm/Stration.BLG

BitDefender         Found DeepScan:Generic.Stration.0273CA93

ClamAV         Found nothing

Dr.Web         Found Win32.HLLM.Limar

F-Prot Antivirus         Found W32/Warezov.gen4

F-Secure Anti-Virus         Found nothing

Fortinet         Found W32/Stration.ET@mm

Kaspersky Anti-Virus         Found Email-Worm.Win32.Warezov.et

NOD32         Found Win32/Stration.TX

Norman Virus Control         Found Sandbox: W32/Malware; 

[ General information ]
 

* Decompressing UPX.

* Creating several executable files on hard-drive.

* File length: 64512 bytes.
 

[ Changes to filesystem ]

* Creates file C:\windows\system32\mspradme.exe.

* Creates file C:\WINDOWS\SYSTEM32\vb5dmspo.dll.

* Creates file C:\WINDOWS\SYSTEM32\rdpwmsjt.exe.

* Creates file C:\WINDOWS\SYSTEM32\mcd3mscm.dll.

* Creates file C:\WINDOWS\SYSTEM32\e1.dll.
 

[ Changes to registry ]

* Creates value "mspradme"="c:\windows\system32\mspradme.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run".
 

[ Changes to system settings ]

* Creates WindowsHook monitoring cbt activity.
 

[ Process/window information ]

* Creates an event called ZAAllowEvent.

* Creates an event called SGAllowEvent.

* Creates an event called NISAllowEvent.

* Creates an event called OPAllowEvent.

* Creates an event called MAAllowEvent2.

* Attempts to access service "vsmon".

* Creates an event called ActiveZA.

* Attempts to access service "SmcService".

* Creates an event called ActiveSG.

* Attempts to access service "wscsvc".

* Attempts to access service "SharedAccess".

* Attempts to access service "Symantec Core LC".

* Creates an event called ActiveNIS.

* Attempts to access service "OutpostFirewall".

* Creates an event called ActiveOP.

* Attempts to access service "MpfService".

* Creates an event called ActiveMA.

* Attempts to access service "WinRoute".

* Will automatically restart after boot (I'll be back...).

* Enumerates running processes.

* Modifies other process memory.

* Creates a remote thread.
 

VirusBuster         Found Trojan.Opnis.Gen.29

VBA32         Found MalwareScope.Worm.Warezov.1

Vorbeugung: Gesunder Menschenverstand. ;)

Übrigens: Standardmäßig wird die Dateiendung "pif" unter Windows (nur XP?) nicht angezeigt, selbst wenn im Explorer die Einstellung "Erweiterungen bei bekannten Dateitypen ausblenden" deaktiviert wurde. Abhilfe: In der Registry unter HKEY_CLASSES_ROOT\piffile den Eintrag NeverShowExt löschen.

Zitat:

Zitat von GUA (Beitrag 244482)

leider mehren sich die anfragen auf dem board, die das gleiche problem wie der to haben :(

GUA

Deswegen habe ich nachgefragt

Zitat:

Zitat von cad (Beitrag 244438)

Möchtest Du darüber diskutieren oder hast das falsche Forum erwischt?

:)

Gruß cad

Zitat:

Zitat von GUA (Beitrag 244482)

leider mehren sich die anfragen auf dem board, die das gleiche problem wie der to haben :(

GUA

mmh ich hab des problem ja net ...

Zitat:

Zitat von riC (Beitrag 244530)

mmh ich hab des problem ja net ...

Tja, das wird bestimmt 'ne interessante Diskussion. :crazy:

Gruß :daumenhoc
Yopie

tja..was nur wenn man so nen link nicht anklickt und der link in meinem namen versendet wird...ich geh vorsichtshalber in deckung, falls diese aussage eurer meinung nach <<sinnlos>> sein sollte ;) .. nur wie soll ich mir das ding ohne link-anklicken zugezogen haben?! http://www.trojaner-board.de/22799-icq-graue-blume.html

Oktober
November

Email geöffnet? Falsche Seite angesurft?

Hi zusammen,

Erfahrungsbericht meinerseits:

Ich bin auch einer der dummen gewesen der der Neugier verfallen ist und den Link angeklickt hat, mein Gott passiert halt mal :)

Nungut, umgehend hat AVG Alarm geschlagen und ich wusste somit auch schon Bescheid dass was im argen liegt.
Hab das Virenprogramm einen kompletten Scan machen lassen und der Wurm wurde "geheilt" und dann "gelöscht" (healed and deleted)

Hab AVG danach noch 2 mal laufen lassen und es wurde keine Spuren mehr von dem Wurm gefunden.

Gut ich bin jetzt was Viren angeht ein Laie, wäre aber schön wenn ich jetzt auf meinen Bericht hier keine Antwort in Form von :

"Der wurm wird halt nicht mehr angezeigt aber er ist immer noch da" :D

bekomme.

Jedenfalls läuft mein System weiterhin tadellos, keine Einschränkungen in der Geschwindigkeit, Auslastung verhält sich auch normal, Dateien sind auch noch alle da. Ich für mein Teil denke mal dass ich den Wurm besiegt habe :kloppen:
oder was sagt ihr dazu ?

Gruß
Die Frankensau

Zitat:

Zitat von Franken Andi (Beitrag 245164)

oder was sagt ihr dazu ?

Möglich, dass du den Wurm + zusätzliche Malware entfernt hast, sicher kannst du dir nicht sein. -> http://faq.jors.net/virus

Der ICQ Wurm verschickt neue Massages

Hi, you’ve just received a postcard.To view the postcard click this link or copy it to your browser’s address bar.//cards.chitionkerunjedas.com/1/show.xml?id=c3a16765e29061df81b9e5c458caf30dThe postcard will be kept for 10 weeks.

Hilfe zum entfernen ICQ Wurm 2006 Hilfe - hier !! -

nicht alle beschrieben dateien sind vorhanden.

dieses scheind aber zuklappen:
Gehe links unten auf START, dann auf AUSFÜHREN und gebe folgendes ein: "MSCONFIG".
Im sich nun öffnenden Fenster, auf den Reiter SYSTEMSTART wechseln und den Eintrag
"C:\WINDOWS\wupd32.exe s" suchen!
Falls vorhanden (möglicherweise auch in leicht abgewandelter Form?),
den Haken vor diesem Eintrag entfernen!
Nun den PC neu starten!