MSN-wurm

[KULA]

hi,

1. plz das wort v_i_r_u_s nicht verwenden in dem thread, sonst kann ich ihn nicht mehr aufmachen.

2. habe auf diesem pc hier einen v_i_r_u_s der vermutlich über msn verbreitet wurde. (es ist nicht mein pc)
alle seiten auf denen irgendwas von v_i_r_u_s steht werden sofort wieder geschlossen. dasselbe gilt für die jeweiligen programme (kA... wohl irgendwas alt-f4 scriptmässiges)
(manche sites werden einfach auf google verlinkt)

ich hab jetzt schon eine ziemliche weile gesucht, aber noch nichts brauchbares gefudnen, nur, dasses sich wohl eben um kelvir oder bropia handelt(oder sowas in der art).

kann man den irgednwie ohne 2. pc, in den man die festplatte einbaut, killen?

thx 4 hlp

(suchfunktion lief nicht so, weil "msn" zu kurz für die mindestlänge ist und bei v_i_r_u_s eben der ie sofort geschlossen wird.)

 

[bog]

WIERUHS

^^ 8[
a) www.windowsupdate.com
b) www.freeav.de
c) www.miranda-im.org
d) www.mozilla.org/firefox

 

[haschischtasche]

hier mal die hilfe bei schaedlingsbefall ohne das word v_i_r_u_s

Original geschrieben von mAiLmAn
Hallo liebe Besucher des Broodwar.de Technik Forums,

Du hast den Verdacht, dass sich Viren/Trojaner etc. in deinem PC eingenistet haben?
Du hast nervige PopUps oder es öffnen sich dutzende von Fensterm?
Deine Startseite ändert sich von alleine?
Du hast ungewollte Internet Explorer Toolbars?

Dann bist du hier richtig!
Dieser Thread kann benutzt werden, um Hilfe zu erlangen, wenn du selbst nicht mehr weiter kommst. Wir haben dazu eine Art "Hilfe-Routine" geschaffen, um zu gewährleisten, dass dir schnell und effizient geholfen werden kann.

---

Bitte gehe die nummerierten Punkte Schritt für Schritt durch!

0. Neue Infektionen vermeiden

• Solange dein System nicht up to date ist (s. 5.) wirst du dich unweigerlich, allein durch den Fakt, dass du ins Internet eingewählt bist, auch weiterhin mit Schädlingen zu infizieren. Um also zu vermeiden, dass man während der Bereinigung von vorhandenen Schädlingen schon wieder von neuen infiziert wird bleiben leider nur wenige Möglichkeiten: Entweder du benutzt einen Router oder du installierst eine Software- bzw. Desktop-Firewall. Links dazu findest du weiter unten. Unter Windows XP kann man auch die integrierte Firewall benutzen. Allerdings hat diese ohne installiertes Service Pack 2 sehr viele Schwächen...
  Desweiteren solltest du dich, solange du nicht geupdatet hast, von nicht vertrauenswürdigen Webseiten (ich denke du weisst, was ich meine...) fern halten. Viele dieser Webseiten führen Code aus, der deinen Rechner mit weiteren Schädlingen infiziert. Ebenfalls empfehlenswert in einem solchen Fall ist ein alternativer Browser wie Opera oder FireFox.
  Unter Windows Me/XP sollte man, bevor man ein infiziertes System säubert, die Systemwiederherstellung deaktivieren.
  Bei besonders heimtückischen Schädlingen kann dies auch mit dem Papierkorb nötig sein.
  Der Grund: Schädlinge "tarnen" sich gerne als Teile des Systems um "unsichtbar" zu werden und verstecken sich dann eben in den Ordnern der Systemwiederherstellung oder des Papierkorbs.

0.5 Download Ccleaner.

• Es löscht schnell und komfortabel alle bekannten temp Ordner. http://www.ccleaner.com/ccdownload.php
  Es beinhaltet auch ein Script was die Registry nach Fehlern absucht. Ich rate von dieser Funktion ab. Das vollständige löschen der tempfiles VOR dem scannen beschleunigt dieses erheblich. Das Program sollte man davon abgesehen einmal die Woche laufen lassen.

1. Spybot - Search - Destroy

• Downloade und installiere Spybot - Search & Destroy inkl. SDHelper.exe und TeaTimer.exe.
• Starte Spybot und stelle sicher, dass du mit dem Internet vebunden bist. Klick auf Weiter.
• Klick auf “Search for updates” und “Download all updates”.
• Benutze “Immunize”.
• Wähle “Use program”.
• Klick den “Überprüfen” Button oben im Fenster an. Wenn der Scan fertig ist, markiere alle gefundenen Sachen in ROT, dann klick auf “markierte Probleme beheben”.
• Mach einen Neustart.

2. AdAware Personal

• Downloade und installiere AdAware.
• Am Ende der Installation entferne den Haken bei “show help file” und “perform full system scan”.
• Verbinde Dich mit dem Internet und führe das Update durch um die neusten Signaturen zu bekommen.
• Dann klickst Du oben auf das Rädchen-Icon und auf "Scanning" und dort setzt du einen Haken bei “Scan within archives”, klicke auf "Proceed".
• Nun klicke den Button "Start", markiere “Perform full system scan” und dann gehe auf "Next".
• Wenn der Scan durch ist, dann klicke mit der rechten Maustaste in das Ergebnis-Fenster und wähle “Select All”, gehe auf "Next".
• Mach einen Neustart.

3. Virenscanner

• Du hast eine Flatrate? Dann und nur dann mach unter einer der folgenden Links einen online V_irus Scan:
  BitDefender oder TrendMicro Trendmirco benutzt ein Javasricpt und ist somit auch
  auch für Mozilla/Firefox/Opera User benutzbar.
  
• Nun solltest du dir unter www.free-av.de oder www.grisoft.com einen kostenlosen Virenscanner downloaden und installieren - UPDATEN nicht vergessen!
  
• Modem- und ISDN-User sollten lieber AVG Antiv_irus von www.grisoft.com downloaden und installieren - UPDATEN nicht vergessen!
  
• Unter ttp://www.bitdefender.com/bd/site/downloads.php?menu_id=21 kann man sich einen reinen On demand Virenscanner runterladen:
  -BitDefender Free Edition v7
  Nach der Installation das Liveupdate durchführen und eine kompletten scan durchführen. Bitdefender Free edt eignet sich hervorragend als Zweitscanner. Das er nur auf Aufforderung scannt kommt er keiner anderen Antiv_irussoftware in die Quere. Seine Erkennungraten auch bei Trojanern sind sehr gut.

...und jeweils einen kompletten System Scan durchführen!
Um wirklich sicher zu gehen solltest du den Scan im abgesicherten Modus durchführen! (Neustart -> BIOS Screen abwarten, sobald Windows startet F8 -> Abgesicherter Modus)
WICHTIG: Unbedingt davor in den Optionen der Programme (also SOWOHL für das Scanmodul als auch für den residenten Virenwächter!) die Einstellungen anpassen! Heureistik ist pflicht, für das Scanmodul mit maximaler Stufe, für den Wächter minimum auf mittel. Makroheureistik ebenfalls nicht deaktivieren! Desweieteren darauf achten, dass ALLE Dateien, unabhängig von ihrer Endung durchsucht werden, beim Lesen UND Schreiben geprüft wird und, dass auch gepackte Dateien durchsucht werden.
Bei AntiVir ausserdem unter "Unerwünschte Programme" einen Haken bei "Alle aktivieren" machen, um u.A. Dialer-Schutz zu aktivieren.

=> JA! Ein solcher Scan dauert u.U. sehr lange. Wenn du allerdings deinen Schädling erfolgreich bekämpfen willst solltest du dies in Kauf nehmen.

• Mache einen Neustart.

4. HiJackThis

• Downloade HijackThis und speichere es in einem eigenem Verzeichnis.
  ( Es legt Backups an für den Fall, dass etwas schief geht. Diese Backups sollten nicht auf dem Desktop liegen oder in einem temporären Verzeichnis. Also öffne den Explorer und leg ein neues Verzeichnis an, etwa c:\hjt )
• Klicke mit rechts auf das File und wähle “Senden an... -> Desktop”.
• Schliesse alle Fenster und doppelklicke die Hijackthis Verknüpfung
• Wähle “Scan”, dann wird aus "Scan" “Save log”. Klicke darauf, speichere das log. Ein Notepad Fenster öffnet sich in welchem das Log File steht. Markiere alles und poste es als neue Antwort in diesem Thread.
• Wenn Du etwas weg lässt werden wir Dir nicht helfen können.
• HijackThis zeigt vieles an; “Gutes” wie “Böses” - also bitte versuche nicht, irgendetwas selber zu fixen, wenn du nicht genau weisst, was du tun sollst.

5. System-Updates

• Wer sich heutzutage mit einem Windows 2000- oder XP-Rechner ohne Updates ins Internet traut wird ohne Schutzmassnahmen wie Firewall unweigerlich ohne eigenes Zutun von jeder Menge sogenannter "Malware" infiziert. Malware ist ein Sammelbegriff für Dateien, die programmiert wurden, um einem Rechner zu schaden (in ihn einzudringen; engl. mal ~ schlecht), also Viren, Trojaner, Keylogger, Tracking Cookies, Spyware, usw. usf....
  Das nette Zeug eben.
  Also: UPDATEN.
  WIE, fragst du. http://windowsupdate.com/ - simple as that.
  Wenn du nicht updaten kannst weil dein Key gesperrt ist: Pech. Wir fühlen uns nicht weiter für dich zuständig. Du weißt, wieso.
  Unter Windows 2000 ist das Service Pack 4, unter XP das Service Pack 2 mit jeweils dem neusten Internet Explorer PFLICHT. Selbst, wenn ihr zum surfen nicht den IE benutzt.
  
  WICHTIG: Erst updaten, wenn du 100%ig Malware-Frei bist! Verschiedene Schädlinge bringen dein System ansonsten komplett zum Erliegen und machen es unbenutzbar!
  Lass dir also besser von uns bestätigen, dass du auf der sicheren Seite bist oder trage die Konsequenzen...

---

Wir sitzen nicht vor Eurem Computer, also sagt uns, was und ob ihr etwas zusätzlich gemacht habt, wie einen anderen Virenscanner benutzt, oder irgendein anderes Tool, um den Schädlingen Herr zu werden.
Eine kurze Beschreibung Eures Problems wäre auch hilfreich. Wenn etwas von den oben genannten Sachen nicht ging dann sagt uns das bitte.

---

Vorbeugen ist besser!

• Spywareblaster SpywareBlaster soll verhindern, dass Spyware überhaupt installiert wird.
• IE/Spyad IE/Spyad setzt über 4000 Webseiten und Domains auf die Liste der "Eingeschränkten Websites" im Inetnet Explorer was dramatischen Einfluss auf die Möglichkeiten hat, euer System zu infizieren. Simpel ausgedrückt unterdrückt es Downloads (Cookies usw.) von den gelisteten Seiten, ohne zu verhindern, dass man die Seiten weiterhin normal betrachten kann.
• MVPS Hosts file Die MVPS Hosts-Datei ersetzt deine HOSTS Datei (C:\WINNT\system32\drivers\etc) und enthält bekannte Werbe- und Spywareseiten usw. - sie verhindert, dass dein Computer eine Verbindung zu diesen Seiten aufbaut indem sie den Verbindungsversuch auf die Lokale IP 127.0.0.1 umleitet (das ist dein eigener Rechner). Nachdem du diese Datei installiert hast musst du Tools wie das Immunisieren von Spybot, Spywareblaster sowie IE/Spyad ernet ausführen, da diese ebenfalls auf die HOSTS Datei zugreifen. Danach solltest du deine HOSTS Datei vor Zugriff schützen, indem du sie als schreibgeschützt markierst. (Spybot kann das: Erweiter Modus wählen, dort links im Menü unter Werkzeuge -> IE-Spielereien.)
  Achtung: Diese HOSTS-Datei ist für schwache Rechner NICHT geeignet!
• Google Toolbar Downloade die Google Toolbar - sie enthält einen sehr guten Pop-Up-Blocker. Installationshinweise lesen bzw. ohne erweiterte Funktionen installieren!

---

Wir empfehlen ausserdem, den Inhalt deiner "temp" bzw. "tmp"-Ordner (im Userprofil: Dokumente und Einstellungen\benutzername\Lokale Einstellungen sowie in Windows: C:\WINNT\ bzw. C:\WINDOWS\) sowie die "Temporary Internet Files" (Internet Explorer: Extras -> Internetoptionen) sowie den Inhalt des Papierkorbs (Rechtsklick -> Papierkorb leeren) in regelmässigen Abständen zu leeren. Man muss um diese Ordner zu sehen im Explorer unter den Extras -> Ordneroptionen -> Ansicht folgende Optionen setzen:
Haken bei "Geschützte Systemdateien ausblenden" raus, Versteckte Dateien und Ordner: "Alle Dateien und Ordner anzeigen", unter XP: "Dateien in Systemordnern anzeigen".
Ccleaner eignet sich hervoragend dafür dies schnell und komfortabel zu tun.

---

Related Links:
Sygate Personal Firewall
Kerio Personal Firewall
Opera (alternativer Webbrowser)
Mozilla Firefox (alternativer Browser #2)
BitDefender
CCleaner
SpywareBlaster
AdAware
Free-AV
GriSoft Virenscanner
HijackThis
Windows Update


Siehe auch: "Tony Klein's good advice":
So how did I get infected in the first place? / "Also, wie bin ich eigentlich infiziert worden?" (englisch!)


---

Besucht die Microsoft Update Webseite öfters! Es ist sehr wichtig, http://www.windowsupdate.com regelmässig aufzurufen, um sicherzustellen, dass auf deinem Computer immer die neusten Sicherheitsupdates installiert sind. Wenn neue Updates verfügbar sind installiere diese, starte deinen Rechner neu und besuche die Seite nochmal bis keine Updates mehr gefunden werden.

---

Der Übersicht wegen wird hier immer nur der aktuellste Fall zu sehen sein. Erledigte Fälle werden ins Schädlingsarchiv verschoben.

Andere Posts als Helpanfragen werden gelöscht!

Ein Hinweis noch: Bitte überprüft, wer euch da helfen will und was er euch da erzählen will.
Solange der jeweilige Benutzer nicht Moderator oder Administrator ist oder [For]Hood heisst wird für Tipps KEINE Garantie übernommen.
Weiterhin geben wir zu bedenken, dass immer etwas schief gehen kann; auch wir sind keine Götter!
Deshalb lasst auch besser die Finger von den Sachen, bei denen ihr nicht genau wisst, was ihr tut.

Sollte etwas nicht klar sein dann fragt uns - wir helfen gerne!

---

Dieser Text darf ohne Verweis auf diesen Beitrag und ausdrückliche Genehmigung durch [For]Hood, mAiLmAn oder andere broodwar.de-Staffmitglieder nicht, auch nicht auszugsweise, veröffentlicht werden.
Irrtümer und Fehler vorbehalten.
Weder die Verfasser des Textes noch bw.de können für Schäden, die durch Malware oder deren Entfernung, an deinem Rechner oder deinen Daten enstehen könnte, haftbar gemacht werden.

Leider gilt dasselbe für die "Hersteller" der ganzen lustigen Programme.
Also haltet die Augen auf und habt ein Backup parat.
Und betet, dass diese Schweine eines Tages alle vom Blitz erschlagen werden.

V. 2.2 (11.01.2005) by [For]Hood & mAiLmAn

das machen, highjackthislog dann wohl in den thread hier

edit: bog du bist ein arsch

 

[Picard]

fuck meine mutter hatte neulich nen pösen grippe wirus
naja, egal
antiviren kit, evtl im safe-mode laufen lassen und weg is der v_i_r_u_s

 

[haschischtasche]

Original geschrieben von Picard)STF
fuck meine mutter hatte neulich nen pösen grippe v_irus
naja, egal
antiviren kit, evtl im safe-mode laufen lassen und weg is der v_i_r_u_s

rafft ihrs nicht, dass er jetzt offensichtlich die page mitm normalen browser nicht mehr aufrufen kann?

 

[Marneus]

lol ich lach grade ;(

ein mod könnte es ja editieren bzw. der entsprechende user D;

 

[Picard]

Original geschrieben von haschischtasche

rafft ihrs nicht, dass er jetzt offensichtlich die page mitm normalen browser nicht mehr aufrufen kann?

und du musst das pöse v-wort noch quoten

 

[KULA]

werde mal das mit dem hijack this versuchen(wenn ich es runterladen kann), thx , wenn ich wieder dort bin... hoffe auch, dass der thread da totz den vi_russenfunktioniert

 

[Scheinkultur]

lol @ v_irus

e by mailman: wenn jetz noch einer das wort ausschreibt... sorg ich dafür, dass er nen netten titel unter den namen bekommt!

 

[Picard]

haschistasche hat das pöse v wort immer noch weiter oben gequoted... ich wollts nurmal anmerken!
am besten mal strg+f und nach dem wort suchen @admin ^^

 

[Gast]

dangö.

 

[KULA]

also, konnte das ding jetzt killen indem ich mir eifnach antivir zugemailt und es dann im abgesichterten modus installiert habe und durchlaufen liess. schuld war vermutlich Fatso.A . bis auf ein bisschen adware funzt jetzt wieder alles thx

 

[Picard]

is doch gut wenn adware net funzt

(jaja, ich habs scho gerafft :P)

btw
virus aka: http://securityresponse.symantec.com/avcenter/venc/data/w32.serflog.a.html

btw hätten wir uns das sparen können da es ein wurm ist 8[