Thema: Der Viren-Thread

[nemesis]

Dieses Mistvieh Isass scheint schon seit ein paar Monaten die Runde zu machen. Ich habe von leuten gelesen die Mails bekamen, in denen vor diesem "Virus" gewarnt wurden. Anbei war ein Anhang mit einem angeblichen "Trojanerremovaltool", welches sich als Wurm entpuppte.

Hast du eine Ahnung wie du dir das eingefangen hast?

Kann dir dazu erst mal nichts genaueres sagen, aber lies dich mal hier durch (vielleicht bringt es ja was):

http://www.pc-magazin.de/common/forum/forum.php?id=35003463&forum=19&dsp_start=0&expand=1&suchwort=

http://www.tutorials.de/tutorials154737.html

http://www.emuleforum.net/archive/topic/41554-1.html

http://board.protecus.de/showtopic.php?threadid=7346

[Anonymous]

Danke für die vielen Links, nemesis!

Wie das Ding hier drauf gekommen ist, kann ich nur vermuten. Also durch Mails ganz sicher NICHT, solche Mails werden bei 1und1 schon automatisch rausgefiltert, und habe ich noch nie bekommmen ...

Aber ich hatte von gestern auf heute den PC am laufen, eMule war noch an ... ich schätze mal, da ich das Ding ja erst seit heute habe, es irgendwie damit zusammenhängt!

Naja, ich habe mir jetzt mal Ad-Aware 6.0 runtergeladen und ein Windows-Update gemacht. Ich hoffe er ist weg ...

[Anonymous]

Kleine Verbesserung:

"lsass" (Local Security Authority Subsystem Service) heißt der Wurm richtig. Hatte ich falsch gelesen, sorry.

[nemesis]

Wo wir gerade dabei sind:

18-Jähriger gesteht Programmierung des Internetwurms «Sasser»  
 
Hannover (dpa) - Ein 18-jähriger Schüler aus der Nähe von Bremen hat den Internetwurm «Sasser» programmiert. Nach seiner Festnahme gestand er die Tat. Beamte des Landeskriminalamtes Niedersachsen hatten zuvor sein Elternhaus in Waffensen durchsucht. Dabei stellten sie nach eigenen Angaben umfangreiches Beweismaterial sicher. Der Schüler kam nach seiner Vernehmung wieder auf freien Fuß. Sein Virus hatte seit einer Woche weltweit Millionen Computer befallen. «Sasser» verursachte Fehlermeldungen und ein Herunterfahren des Computers.

[Necronomicon]

Das muß man sich mal auf der Zunge zergehen lassen, hat unsereiner früher mit 18 mal ein wenig Mist gebaut legen die heutigen Neuvolljährigen ganze Unternehmen lahm und das weltweit  8O  

[nemesis]

Heute fragte mich Zone Alarm (braves Programm...*streichel*) ob ich der inetdl.exe Zugriff aufs Netz gewähren wolle. Es sei das erste mal. Dachte ich mir doch "Wenn es bisher nicht online war, dann muss es das auch jetzt nicht!".

Hab die exe mal rausgesucht. In der Signatur findet sich der Name Inet-Traffic Inc. Das Vieh ist nach dem Hochfahren im Taskmanager zu finden und aktiv und möchte unbedingt ins Netz. Da hab ich mal nachgeschaut was es an Infos zu finden gibt.

Den Namen Inet Traffic Inc. fand ich gleich. Im Zusammenhang damit eine intdel.exe Iich vermute mal es ist die gleiche exe, nur ein Anagramm.

Probleme hatte ich noch nicht (im Gegensatz zu einigen Leuten hier: http://www.hftonline.com/forum/showthread.php?t=12217 ).

Dann hab ich noch das hier gefunden:

intdel - intdel.exe - Process Information
Process File: intdel or intdel.exe
Process Name: Inet Delivery
Description: Adware application that provides offers to users through popups.
Company: Inet-Traffic Inc.
System Process: No
Security Risk ( Virus/Trojan/Worm/Adware/Spyware ): Yes
Common Errors: N/A


Hat von euch schon jemand Erfahrung mit dem Teil gemacht?

[nemesis]

Da wollte doch gestern etwas ins Netz gehen...ZoneAlarm sagte da erst mal "Aber hallo!". Da sind auf einmal gleich 4 exen drauf:

wupdater.exe
bundle.exe
Sahagent1019.exe
Isasss.exe (ja, mit 3 s)

Besonders die letzte Sau wollte im Sekundentakt Zugriff aufs Netz (und verursachte eine CPU-Auslastung von 100%). Im Taskmanager liessen sich alle beenden. hat schon jemand Erfahrungen mit den Viehchern gemacht? Bei meiner online-Suche wurde ich nicht wirklich schlau...

[Bloodsurfer]

Also irgend etwas musst du falsch machen, wenn du trotz Zone Alarm und AV Scanner ständig solche Dinger auf deinem Rechner entdeckst...

[nemesis]

Ständig ist stark übertrieben. Das muss gestern gewesen sein. Wollte wegen ein paar Pics zu Hellraiser 8 auf eine Seite (ich glaube "upcominghorrormovies.com" oder so) und zack, da war wohl was im Busch. Naja, sie lassen sich wie gesagt per Taskmanager abschalten, und ZoneAlarm blockt auch ab, wenn sie raus wollen. Aber ich konnte noch nichts sinnvolles über die Funktion der kleinen Ferkel rauskriegen.

[Necronomicon]

Also inetdl.exe ist auf jeden Fall ein Dialer, der in seltenen Fällen sogar schon mit dem Issas auf den Rechner kam.

Es soll ja jetzt aktuell auch einen neuen Sober geben, der rechtsradikalen Anhang hat und sich wie bekannt durchs Adressbuch würmt --> deshalb Update machen!

@nemesis: Lad dir mal hier das Freewareprogramm runter und check mal deine FP
http://www.spysweeper.com/

Dann kann ich dir noch den Online Check auf Viren und Hacker bei www.symantec.de empfehlen.

Hast du das durchgeführt dürfte alles sauber sein.

[nemesis]

Der intdel. ist schon seitdem terminiert. Und Post kommt mir gar nicht erst auf den Rechner, und von unbekannten Absendern wandert es gleich in die Tonne.

Das von dir genannte probier ich mal aus, danke.

[nemesis]

Nein, diesmal habe ich keine Probleme. Habe allerdings gelesen, dass momentan wieder das ein oder andere unterwegs ist. Nur mal so zur Vorsicht:

http://oncomputer.t-online.de/c/27/76/36/2776368.html

http://www.swr.de/nachrichten/2004/11/19/index1.html

Ach ja, Necro: Den Sweeper hab ich mir besorgt. Nicht zu verachten. Ausserdem hab ich mir noch Stinger besorgt, der geht über Leichen.

[Bloodsurfer]

Danke für die Warnung.
Die zweite Meldung erweckt den Eindruck dass sich das Ding rasch verbreitet... Aber gut, solche Mails werden sowieso immer gleich ins Datennirvana geschickt.

[Necronomicon]

Hat hier jemand ein Tool um den blöden MyDoom zu entfernen ?


sspMydoom.cih


Ich bekomm ihn einfach nicht weg, und format c: will ich nicht unbedingt machen.

[Necronomicon]

Sollte mal jemand vom bösen: "Backdoor.Trojan" überfallen werden, der angeblich äußerst hartnäckig und schwer zu entfernen sei, dann ist der "spybot", den es zB. bei Chip.de zum DL gibt, die allerbeste Wahl.

Ebenso beseitigt er die ganzen Registry-Einträge, die Mydoom und Konsorten verursachen.

[bs666]

format c:\ braucht man ja auch nicht unbedingt bei jedem virus meist reicht das löschen der infizierten Dateien und evt. muss man noch windows neu aufsetzen...

Hab selbst schon 2-3 "harmlose" Viren geschrieben, also irgendwie versteh ich den Anreiz dazu... nur ich hab die NIE verbreitet. (nur mal versehentlich ausprobiert :cry: )

[Necronomicon]

format c:\ braucht man ja auch nicht unbedingt bei jedem virus meist reicht das löschen der infizierten Dateien und evt. muss man noch windows neu aufsetzen...

Schon klar, nur ist das im speziellen Fall MyDoom meist die einzige Möglichkeit. Kann man auch auf vielen Supportseiten lesen.

[bs666]

sorry hab überlesen dass es um mydoom geht

[Necronomicon]

sorry hab überlesen dass es um mydoom geht

Stell dich doch mal im Willkommen-Forum vor. Macht immer einen guten Eindruck  

[bs666]

mach ich.....

[nemesis]

Okay, ich als Anti-Techniker hab da mal 'ne Frage:

mmsvc.32exe

Was zum Geier ist das? Seit kurzem will das Teil immer ins Netz (was ich unterbinde, da es das vorher ja auch nie wollte). Es scheint in der Registry zu sein und könnte u.U. ein Wurm sein, so einer der den Rechner beim Onlinesein mit einem fenster beglückt, welches darauf aufmerksam macht dass die Kiste in einer Minute runterfährt...

In diversen Foren habe ich nur Hightech-Kauderwelsch gefunden, aus dem ich nicht wirklich schlau werde.

Antivir und Stinger haben nichts gefunden. Schalte die exe über den Taskmanager aus und gut, aber was genau ist das nun? Und wenn es wirklich so ein Mistvieh ist, wie kriege ich die Sau runter von der Platte?

[JasonXtreme]

Die hatten bei mir auch nix gefunden - Free AVG schon, lass den ma drüber laufen

[nemesis]

Die hatten bei mir auch nix gefunden - Free AVG schon, lass den ma drüber laufen

Na hallo! Nach wenigen Sekunden hat er in der erwähnten exe den Trojaner Generic.LNX gefunden... 8O ...und hoffentlich geheilt. Werde ja merken, ob der Kerl noch was will...

Danke erstmal für den Tipp.  

[Necronomicon]

Der Free AVG überrascht da doch immer wieder gegenüber teuren Konkurrenten...  

[JasonXtreme]

Bitte bitte das hat mich auch gewundert - sogar der Kasp hatte da nix mehr gefunden