Achtung neuer MSN-Virus

[smaster100]

Hallo Leuts! Ich habe zur Zeit ein Problem, das heisst meine Schwester hat ein Problem...
Sie erhielt in MSN eine Sofortnachricht mit einem Link und dem Text der andere hätte ein Foto von ihr gefunden! Sie klickte natürlich auf diesen Link:S
nun hat sie einen Virus. Ich denke es ist Spyware!
Ich konnte den Virus finden. er heisst mrofinu1423 und befindet sich unter C:/Windows.
Es gibt auch noch einen Registyeintrag unter HKEY_CLASSES_ROOT/WR.
Ein Hijackthis Scan ergab auch noch einen Prozess, welche ich auch gefixt habe.
So weit so gut, aber immer wen ich den Computer neu starte, so ist alles wider da. Sprich die Datei mrofinu1423 ist wider da und der Registryeintrag und der Prozess auch, obwohl ich diese gelöscht habe! Irgendwo ist noch ein Ableger, aber ich kann ihn nicht finden

Hat wer das Problem auch, oder weiss eine Lösung?
Vielen Dank

 

[Extinction]

Schwierig...

Solche Viren reproduzieren sich und sind daher ziemlich schwer auszuradieren. Ich hatte mal das Selbe Problem mit ICQ...
Den Virus wirst du wohl manuell löschen müssen: Google mal nach dem Virus. Irgendwo muss es eine Liste von Dateien Geben, die zu diesem Virus gehören. Diese Liste speicherst du lokal ab und kontrollierst, ob alle Dateien Da sind.
Jetzt solltest du vorsichtshalber mal den RegCleaner o.ä. benutzen, um zu checken ob eine Datei des Virus im Autostart steht.
Danach startest du ein Betriebssystem von einer Live-CD und nimmst deine Liste zur Hand. Die ganzen Dateien packst du in ein rar-Archiv o.ä.. (Löschen könnte probleme bereiten, wenn du die Datei doch noch brauchst)

Dann müsste der Virus weg sein. (Von der Live-CD evtl. mal einen aktuellen Virenscanner drüber laufen lassen)

Korrigier mich einer, wenn es einen einfacheren Weg gibt.

Btw.: Behalte bitte im Hinterkopf, dass das Spyware ist und sich zugang zu persönlichen Daten verschaffen könnte, sobald er sich einmal eingenistet hat. Am besten von einem sauberen PC alle relevanten Passwörter (vor allem e-banking) ändern. Auch wenn das nicht unbedingt nötig sein sollte, gesünder ist das...

Edit: Schau mal hier...
http://spywarefiles.prevx.com/RRHCJA44259678/MROFINU1423.EXE.html

 

[smaster100]

Das der im Autostart ist, hab ich mir ja zuerst auch gedacht, aber das ist nichts! Sonst wäre es ja auch zu einfach gewesen...
Ich werde mal schauen, ob ich eine Liste mit sowas finde!

 

[Mackz]

Original von smaster100
Das der im Autostart ist, hab ich mir ja zuerst auch gedacht, aber das ist nichts!

Der muss ja irgendwo stehen. Gucke mal in TUTORIAL: Spyware entfernen -So geht´s- da findest du eine Liste mit den häufigsten vom Malware genutzten "Autostart" Registrierschlüsseln.
Außerdem solltest du mal checken ob der sich nicht vielleicht sogar als Dienst eingerichtet hat.

 

[Harry Boeck]

Der Virus/Trojaner scheint neueren Datums zu sein (erst wenige Wochen alt). Da werden wohl noch kaum komplette Anleitungen im Netz stehen.

Nimm die Tipps von Extinction und Mackz ernst! Und poste hier ruhig mal einen Hijack Log.
Wir können das gemeinsam behandeln und helfen dabei gleich anderen Leuten, die sicher demnächst auch noch das Ding kennenlernen...

Ich würde allerdings die Schritte etwas vertauschen: Starte ERST ein Linux von einer Live-CD und scanne damit Dein Windows! Erst wenn von daher nichts (mehr) auffällt, gehe zum Säubern aus dem inneren heraus über.

Und ganz konsequent ist eine Reinigung immer nur, wenn Du das befallene System komplett neu aufsetzt. Da muß jeder für sich festlegen, was für ein Level an Sicherheit er haben möchte für was für einen Arbeitsaufwand.

Noch ein Tipp für die Zukunft: Mache die Benutzerkonten auf Deinem Rechner zu "normalen" solchen und verbiete Schreibrechte für Dich und Deine Freundin in allen Programmverzeichnissen, insbesondere aber im Windows/System32! Und wenn Du gut bist, auch noch im System-Zweig der Registry! Danach KANN sowas nicht mehr auftreten. Egal, wie dumm der Zufall Deine Freundin oder Dich erwischt.

Falls Du ein Windows Home hast, mache es dazu zumindest vorübergehend (während Du diese Kontensachen einstellst) zu einem Windows Pro:

http://www.heise.de/ct/english/05/12/148/ (2005, Nummer 12, Seite 148 )
und wenn Du die Nummer 15/2005 bekommen kannst: Seite 50 (ctrom/05/15/050/ART.HTM) (das ist noch viel einfacher...)

..ansonsten versuchs mit Googeln nach den Stichwörtern, die hier in der Artikelübersicht stehen: http://www.heise.de/kiosk/archiv/ct/2005/15/50

...oder ich sags gleich hier (weiß aber nicht, ob die Boardbetreiber das tolerieren, weil es durchaus rechtlich problematisch sein KANN):
1. Zweitinstallation (für Backup -> ausdrücklich erlaubt) einrichten und starten!
2. System-Registry-Zweig der Erstinstallation (Hauptsystem) laden!
3. Dort die "ProductSuite" in einen Leerstring ändern!
4. Noch ein paar Kleinigkeiten an der einen oder anderen Stelle im laufenden Hauptsystem ergänzen (dazu aber bitte selbst Googeln)

Nach Einrichtung der Rechte die "ProductSuite" auf demselben Wege wieder zurücksetzen, um legal zu bleiben und Updates ziehen zu dürfen!

Es gibt außerdem noch einen total legalen Weg über ein kleines Kommandozeilentool namens "xcacls", das auch unter XP Home funktionieren soll.
Falls Du Vista hast, muß jemand anderes helfen!

 

[smaster100]

Original von Harry Boeck
Noch ein Tipp für die Zukunft: Mache die Benutzerkonten auf Deinem Rechner zu "normalen" solchen und verbiete Schreibrechte für Dich und Deine Freundin in allen Programmverzeichnissen, insbesondere aber im Windows/System32! Und wenn Du gut bist, auch noch im System-Zweig der Registry! Danach KANN sowas nicht mehr auftreten. Egal, wie dumm der Zufall Deine Freundin oder Dich erwischt.
Falls Du Vista hast, muß jemand anderes helfen!

ähhhm du meinst wohl meine Schwester
Ich konnte das ganze nun mehr oder weniger beheben.... Der Virus und Prozess reproduziert sich nicht mehr, nach einem Clean mit SuperAntiSpyware im Abgesicherten Modus. Doch der Registryeintrag ist immer noch da! jedoch habe ich ihm die rechte entzgen und so kann er nichts mehr machen!
Das ganze ist vorbei!

 

[CDW]

@Harry: falls es nur um Dateirechteeinteilung geht, so habe ich Jahrelang auf einem XP Home Fajo XP http://www.fajo.de/portal/index.php?option=content&task=view&id=6
genutzt.

Zum Thema: es gibt auch Autoruns
http://www.microsoft.com/germany/technet/sysinternals/utilities/Autoruns.mspx
ist auch ziemlich gut für solche Zwecke, wobei die Auswertung dann etwas komplizierter ist.

 

[Harry Boeck]

Danke für den Tipp mit dem "FaJo-XP FSE". Für viele sicher der einfachere Weg.

 

[_fux_]

und wenn du alles entfernt hast, einfach msn deinstallieren und nen alternativen client benutzten, sind in den meisten fällen sicherer als die originalen....Oo

=P

 

[smaster100]

so wie es ausschaut ist das sheiss ding immer noch nicht weg! Der Prozess 17PHolmes1423.exe, die datei mrofinu1423 und der registry ordner WR waren wider da! so langsam bin ich am verzweifeln...

gr33z

 

[Harry Boeck]

Na ja, bevor Du es neu aufsetzt: Zeigen denn nun von einer Live-CD gestartete Virenscanner diese Sachen an? Dann solltest Du den Weg wählen, sie VON AUSSEN (!) zu beseitigen. Von innen hat das - wie sicher schon milliardenfach in Foren rund um den Globus steht - nur sehr bedingt Aussicht auf Erfolg.

Und SICHER bist Du - wie gesagt - NUR, wenn Du das System NEU aufsetzt!

 

[smaster100]

ein scan von einer live cd hat mir die gleichen viren gezeigt wie ein scan mit dem richtigen os und auch dieser konnte es nicht richtig entfernen!
was komisch ist, dass der virus jetzt nicht mehr zu sehen ist nach einem reboot...
das selbe hatte ich schon als ich geschriben habe er sei weg! Da war er nach 2 maligem reboot nicht mehr da, und heute war er wieder da... kann es sein, dass sich der virus nur zb alle 4 reboots aktiviert? ist das möglich?
gr33z

*//edit:
Der Virus wird nicht beim start aktivert, sondern erst so eine stunde danach. Die wartezeit ist aber nicht immer gleich, was heisst, dass es nicht blos eine zeitverzögerte aktiverung von reboot ist. Der virus wurd durch irgendwas ausgelöst, ich weiss nur noch nicht was...

 

[Harry Boeck]

OK, wenn Du SICHER bist, daß die äußeren und inneren Scans dasselbe anzeigen, sieht das schon mal aussichtsreich aus. Dann könnte ein Basteln im laufenden System eventuell doch zum Erfolg führen. Obwohl ICH ein verseuchtes System keine Sekunde am Netz hängen lassen würde...

Heißen die Dateien, die da entstehen, immer gleich? Was sagt der ProcExplorer (Sysinternals-Suite, neuerdings bei Microsoft) dazu?

Falls ja: Du könntest den betreffenden Dateien mal spaßenshalber global alle Rechte entziehen (mit den oben beschriebenen Mitteln). Wenn die nicht mehr starten können, solltest Du sie auch ohne weiteres im laufenden Betrieb beenden können.

Wenn Du dann rauskriegen willst, WER die Dinger immer wieder neu schreibt und zu starten versucht, benutze ProcMon (ebenfalls Sysinternals Suite). Setze ein paar Filter mit "Path" gleich den fraglichen Dateinamen (mehrere Filter gleicher Art sollten addierend wirken)!
Warte gegebenenfalls die beschriebene Stunde (tue irgendwas normales zwischendurch), bis Du im ProcMon-Fenster Zugriffe auflaufen siehst! Der erste davon sollte bereits ein Treffer sein.

Du solltest während der ProcMon-Sitzung bei diesem die "History Deepth" auf das Minimum begrenzen und/oder ein "Backing File" einstellen, sonst fängt der Rechner nach einer Weile an, wie wild zu swappen.

Eventuell hilft es, vor der Stunde Wartezeit noch einen Test des Filters zu machen!
Wenn Du selbst versuchst, auf eine der virulenten Dateien zuzugreifen (dazu reicht es schon, diese in einem Dateimanager anzeigen zu lassen), sollte eine Anzeige erscheinen! Danach solltest Du die Verzeichnisse natürlich selbst meiden.

 

[smaster100]

okey es gibt da noch eine Datei, welche ich auffinden konnte... Sie heisst oitdfy.exe und befindet sich in C:\Windows\System32! Nach dem löschen dieser Datei war der Prozess, der Virus selbst und der Registryeintrag wie durch ein Wunder verschwunden! und er regeneriert sich auch nicht noch mal! Es scheint ein wunder zu sein, aber ich glaube das scheiss ding ist endlich weg!