Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Diskussionsforum (https://www.trojaner-board.de/diskussionsforum/)
-   -   ICQ Virus/Trojaner (https://www.trojaner-board.de/34468-icq-virus-trojaner.html)

riC 16.12.2006 20:01

ICQ Virus/Trojaner
 
Der Trojaner/Schädling verschickt selbständig die Message (siehe Code)

Code:

check this
h**p://****.seruijingandeshijinpos.com/1/7339/

http://www.viruslist.com/de/search?VN=Email-Worm.Win32.Warezov.et

was sagt ihr dazu, einige kollegen von mir haben den link geöffnet ...
(link zensiert - anstelle der **** stehen eigentlich 4 zahlen )

cad 16.12.2006 20:29

Möchtest Du darüber diskutieren oder hast das falsche Forum erwischt?

riC 16.12.2006 20:32

jo ich möchte darüber diskutieren, will eure meinung wissen, aber auch warnen ...

cad 16.12.2006 20:40

Zitat:

Zitat von riC (Beitrag 244436)

was sagt ihr dazu, einige kollegen von mir haben den link geöffnet ...
(link zensiert - anstelle der **** stehen eigentlich 4 zahlen )

Klicken, ohne nachzudenken.:D :headbang:

GUA 17.12.2006 11:59

Zitat:

Zitat von cad (Beitrag 244443)
Klicken, ohne nachzudenken...

leider mehren sich die anfragen auf dem board, die das gleiche problem wie der to haben :(

GUA

Haui45 17.12.2006 14:44

Zitat:

Zitat von riC (Beitrag 244436)
was sagt ihr dazu, einige kollegen von mir haben den link geöffnet ...

Was soll man dazu groß sagen, außer dass betroffene System neu aufgesetzt werden sollten...

Code:

File:          picture.pif
Status:        INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
MD5        46cb99fbb8844d0010e2f6d05866cf05
Packers detected:        PE_PATCH.UPX, UPX

Scanner results
AntiVir        Found WORM/Stration.Gen
ArcaVir        Found Worm.Warezov.Fh
Avast        Found Win32:Warezov-ACI
AVG Antivirus        Found I-Worm/Stration.BLG
BitDefender        Found DeepScan:Generic.Stration.0273CA93
ClamAV        Found nothing
Dr.Web        Found Win32.HLLM.Limar
F-Prot Antivirus        Found W32/Warezov.gen4
F-Secure Anti-Virus        Found nothing
Fortinet        Found W32/Stration.ET@mm
Kaspersky Anti-Virus        Found Email-Worm.Win32.Warezov.et
NOD32        Found Win32/Stration.TX
Norman Virus Control        Found Sandbox: W32/Malware;
[ General information ]

* Decompressing UPX.
* Creating several executable files on hard-drive.
* File length: 64512 bytes.

[ Changes to filesystem ]
* Creates file C:\windows\system32\mspradme.exe.
* Creates file C:\WINDOWS\SYSTEM32\vb5dmspo.dll.
* Creates file C:\WINDOWS\SYSTEM32\rdpwmsjt.exe.
* Creates file C:\WINDOWS\SYSTEM32\mcd3mscm.dll.
* Creates file C:\WINDOWS\SYSTEM32\e1.dll.

[ Changes to registry ]
* Creates value "mspradme"="c:\windows\system32\mspradme.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run".

[ Changes to system settings ]
* Creates WindowsHook monitoring cbt activity.

[ Process/window information ]
* Creates an event called ZAAllowEvent.
* Creates an event called SGAllowEvent.
* Creates an event called NISAllowEvent.
* Creates an event called OPAllowEvent.
* Creates an event called MAAllowEvent2.
* Attempts to access service "vsmon".
* Creates an event called ActiveZA.
* Attempts to access service "SmcService".
* Creates an event called ActiveSG.
* Attempts to access service "wscsvc".
* Attempts to access service "SharedAccess".
* Attempts to access service "Symantec Core LC".
* Creates an event called ActiveNIS.
* Attempts to access service "OutpostFirewall".
* Creates an event called ActiveOP.
* Attempts to access service "MpfService".
* Creates an event called ActiveMA.
* Attempts to access service "WinRoute".
* Will automatically restart after boot (I'll be back...).
* Enumerates running processes.
* Modifies other process memory.
* Creates a remote thread.

VirusBuster        Found Trojan.Opnis.Gen.29
VBA32        Found MalwareScope.Worm.Warezov.1

Vorbeugung: Gesunder Menschenverstand. ;)

Übrigens: Standardmäßig wird die Dateiendung "pif" unter Windows (nur XP?) nicht angezeigt, selbst wenn im Explorer die Einstellung "Erweiterungen bei bekannten Dateitypen ausblenden" deaktiviert wurde. Abhilfe: In der Registry unter HKEY_CLASSES_ROOT\piffile den Eintrag NeverShowExt löschen.

cad 17.12.2006 17:24

Zitat:

Zitat von GUA (Beitrag 244482)
leider mehren sich die anfragen auf dem board, die das gleiche problem wie der to haben :(

GUA

Deswegen habe ich nachgefragt
Zitat:

Zitat von cad (Beitrag 244438)
Möchtest Du darüber diskutieren oder hast das falsche Forum erwischt?

:)

Gruß cad

riC 17.12.2006 20:10

Zitat:

Zitat von GUA (Beitrag 244482)
leider mehren sich die anfragen auf dem board, die das gleiche problem wie der to haben :(

GUA

mmh ich hab des problem ja net ...

Yopie 17.12.2006 20:15

Zitat:

Zitat von riC (Beitrag 244530)
mmh ich hab des problem ja net ...

Tja, das wird bestimmt 'ne interessante Diskussion. :crazy:

Gruß :daumenhoc
Yopie

my_confession 17.12.2006 21:50

tja..was nur wenn man so nen link nicht anklickt und der link in meinem namen versendet wird...ich geh vorsichtshalber in deckung, falls diese aussage eurer meinung nach <<sinnlos>> sein sollte ;) .. nur wie soll ich mir das ding ohne link-anklicken zugezogen haben?! http://www.trojaner-board.de/22799-icq-graue-blume.html

cad 19.12.2006 09:44

Oktober
November

Email geöffnet? Falsche Seite angesurft?

Franken Andi 22.12.2006 11:38

Hi zusammen,

Erfahrungsbericht meinerseits:

Ich bin auch einer der dummen gewesen der der Neugier verfallen ist und den Link angeklickt hat, mein Gott passiert halt mal :)

Nungut, umgehend hat AVG Alarm geschlagen und ich wusste somit auch schon Bescheid dass was im argen liegt.
Hab das Virenprogramm einen kompletten Scan machen lassen und der Wurm wurde "geheilt" und dann "gelöscht" (healed and deleted)

Hab AVG danach noch 2 mal laufen lassen und es wurde keine Spuren mehr von dem Wurm gefunden.

Gut ich bin jetzt was Viren angeht ein Laie, wäre aber schön wenn ich jetzt auf meinen Bericht hier keine Antwort in Form von :

"Der wurm wird halt nicht mehr angezeigt aber er ist immer noch da" :D

bekomme.

Jedenfalls läuft mein System weiterhin tadellos, keine Einschränkungen in der Geschwindigkeit, Auslastung verhält sich auch normal, Dateien sind auch noch alle da. Ich für mein Teil denke mal dass ich den Wurm besiegt habe :kloppen:
oder was sagt ihr dazu ?

Gruß
Die Frankensau

Haui45 22.12.2006 12:45

Zitat:

Zitat von Franken Andi (Beitrag 245164)
oder was sagt ihr dazu ?

Möglich, dass du den Wurm + zusätzliche Malware entfernt hast, sicher kannst du dir nicht sein. -> http://faq.jors.net/virus

Mad-Line 25.12.2006 12:53

Der ICQ Wurm verschickt neue Massages

Hi, you’ve just received a postcard.To view the postcard click this link or copy it to your browser’s address bar.//cards.chitionkerunjedas.com/1/show.xml?id=c3a16765e29061df81b9e5c458caf30dThe postcard will be kept for 10 weeks.

Hilfe zum entfernen ICQ Wurm 2006 Hilfe - hier !! -

nicht alle beschrieben dateien sind vorhanden.

dieses scheind aber zuklappen:
Gehe links unten auf START, dann auf AUSFÜHREN und gebe folgendes ein: "MSCONFIG".
Im sich nun öffnenden Fenster, auf den Reiter SYSTEMSTART wechseln und den Eintrag
"C:\WINDOWS\wupd32.exe s" suchen!
Falls vorhanden (möglicherweise auch in leicht abgewandelter Form?),
den Haken vor diesem Eintrag entfernen!
Nun den PC neu starten!


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:46 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131