KlausK - kindermoebel-24.de

"schau mal das foto an :D http://tinyurl.com/PHOTO-JPG-2010..."

Wer zur Zeit Links oder Anhänge via MSN erhält, sollte diese auf keinen Fall öffnen.

Seit 10 Jahren verwende ich AntiVir unter XP und habe seitdem keine Probleme mehr mit Viren.
Vorgestern war es dann soweit. FF ließ sich nicht mehr öffnen. Alle paar Minuten poppten ein
paar IE-Fenster mit Werbung auf. Meine Tastatur akzeptierte keine Buchstaben mehr.

Mich hat ein Virus erwischt.

Neustart mit Acronis True Image 10, Image angefertigt und das letzte Image (war natürlich
schon 2 Jahre alt) drauf gezogen. Nach 8 Stunden Arbeit hatte ich mein System dann auch
wieder auf dem aktuellen Stand! Ich hab' ja auch sonst nix zu tun ...

Auf dem verseuchten Image habe ich dann folgendes Ungeziefer gefunden:
In C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp
Qnb.exe
Qnc.exe
Qnd.exe
Qne.exe

In C:\WINDOWS
Qgylya.exe

Da sich das Virus auch noch als Dienst anmeldet, müssen die Dateien auch noch in der
Registry gesucht und entfernt werden.

Thema erledigt.

Gestern, spät Abend bekam ich dann vom Kumpel via MSN einen Link zu geschickt. Ich solle mir
mal das Bild anschauen. Da ich weiß, dass der Kumpel hohen Wert auf Sicherheit legt, machte
ich mir da keine Sorgen und versuchte vergeblich die Screensaver-Datei ( .scr) zu öffnen.

Die Strafe erfolge heute morgen als erstes, noch vorm ersten Kaffee. Etliche IE-Fenster mit
harmloser Werbung und mein MSN hatte über Nacht hunderte Links an alle verschickt, die in
meiner Kontakt-Liste eingetragen sind.

Ich bin sicher es war das selbe Virus. Nur hatte es jetzt andere Namen:
In C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp
Mk0.exe
Mk1.exe
Mk2.exe
Mkz.exe

In C:\WINDOWS
Mdagyb.exe

In C:\Dokumente und Einstellungen\Admin\Anwendungsdaten

habe ich zufällig noch folgende Datei gefunden:

egun.exe (ist aber bekannt)

Auch hier müssen die Dateien in der Registry gesucht und entfernt werden.

Interessanterweise konnte kein Tool die Viren entlarven. Weder AntiVir, Kaspersky, Windows-
Defender noch Avast konnten es entdecken!

Avira habe ich heute bereits ein paar Exemplare zukommen lassen.

Ihr müsst es also vorerst selber entfernen. Bei Auffälligkeiten erstmal Strg+Alt+Entf. und schauen,
wer da alles am knechten ist. Zumindest bei mir haben sich beide Kandidaten mit extreeem vielen
(Mrd) Seitenfehlern geoutet. (Menu/Ansicht/Spalten auswählen).

In meinem Fall waren es ja Qgylya.exe und Mdagyb.exe. Der erste Buchstabe des Oberknechtes
scheint mit dem ersten Buchstaben seiner Gefolgschaft indentisch zu sein. Das sollte schonmal
eine Hilfe sein.

Wenn jemand noch weitere wirklich hilfreiche Info's hat, dann her damit!

__________________
[color=#FF0000]Es heisst [b][u]AGB[/u][/b] und nicht [b][u]AGB's[/u][/b][/color]

berny [Offline]

Check auch die Version der Virusdatenbank, ob die auch aktuell ist.
Viele Viren verstellen dir die host Datei so, dass du keine Updates mehr ziehen kannst, und du glaubst, du bist immer up to date...

Ansonsten:
Wäre wieder mal an der Zeit eine Wette abzuschließen, wer als ersters diesen Virus in seine Datenbank lädt...

KlausK - kindermoebel-24.de

So!
AVIRA hat soeben auf meine Mail reagiert und stellt ein Erkennungsmuster mit dem nächstem Update (VDF-Datei) Version 7.10.07.108 bereit.

Auszug:
Wenn das Erkennungsmuster funktioniert, sollte das Problem zumindest für AntiVir-Nutzer mit dem nächsten Update behoben sein.

__________________
[color=#FF0000]Es heisst [b][u]AGB[/u][/b] und nicht [b][u]AGB's[/u][/b][/color]

marco-designs

Moin,

mein Bruder hatte sich das Teil eingefangen.
Typische Anti-Viren Programme haben es ja nicht erkannt:

Ich habe ihn losbekommen durch Hijackthis.
Einfach einen Scan machen und dann den Scan hier auswerten lassen:

http://www.hijackthis.de/de#anl

Dort werden die entsprechenden gefährlichen Dateien als schädlich ausgewiesen.

Markieren und löschen.

Fertig.