IThome 10 Geschrieben 11. Oktober 2007 Melden Geschrieben 11. Oktober 2007 Moin MCSEboard, ich habe heute Anrufe von Kunden, bei denen der Virus Win32/Virut.AE aufgetaucht ist. Beim ersten bin ich gerade, bei befallenen Rechnern ist eine Anmeldung nicht mehr möglich (USERINIT.EXE beschädigt), diverse andere EXE-dateien sind ebenfalls verseucht. Diese Rechner sind also nicht mehr zu retten (macht man nicht, dass man einen befallenen Rechner säubert, ich weiss. Aber diese Rechner lassen sich nicht gar nicht säubern). Bei allen Kunden läuft NOD32. Ist Euch da was bekannt oder geht es Euch genauso ? Gruss Sven Zitieren
XP-Fan 224 Geschrieben 11. Oktober 2007 Melden Geschrieben 11. Oktober 2007 Moin Schwede, bisher noch keine Erfahrungen mit dem Biest gemacht. Zum Glück. Ist was Auffälliges ind den bekannten RUN Key's in der Registry zu sehen ? Alternativ würde ich mal versuchen die Platte in einen anderen Rechner einzusetzen und dort mit einem anderen Scanner zu prüfen. Die Userinit könntest du dann ja auch durch die originale Version ersetzen. Vorrausgesetzt der Rechner hat noch wichtige Daten auf der Platte. LG Sven Zitieren
IThome 10 Geschrieben 11. Oktober 2007 Autor Melden Geschrieben 11. Oktober 2007 USERINIT hab ich schon ersetzt, sonst alle Mögliche infiziert, IEXPLORE.EXE, EXPLORER.EXE, die EXE-Dateien des Virenscanners usw. ... Das System ist unbrauchbar :( Ich installiere neu, hat keinen Zweck ... Zitieren
XP-Fan 224 Geschrieben 11. Oktober 2007 Melden Geschrieben 11. Oktober 2007 Der Schädling muß noch ziemlich neu sein, kaum Infos zu bekommen darüber was er macht und ob er standalone auf dem infizierten PC arbeitet und per Mail sich weiterverbreitet oder auch im Netzwerk über Shares. Denke du hast die einzigst richtige Wahl getroffen :) Zitieren
IThome 10 Geschrieben 11. Oktober 2007 Autor Melden Geschrieben 11. Oktober 2007 Die Anrufe von Kunden werden immer mehr ... :( Zitieren
Gulp 275 Geschrieben 11. Oktober 2007 Melden Geschrieben 11. Oktober 2007 Scheint lediglich erst in Asien besser bekannt zu sein, der wurde auch erst gestern (NOD32) und heute (Kaspersky) in die Definitionen aufgenommen und scheint ne Backdoor zu sein ..... Armer Kerl .... ich fühle mit Dir. Grüsse Gulp Zitieren
XP-Fan 224 Geschrieben 11. Oktober 2007 Melden Geschrieben 11. Oktober 2007 Hi Gulp, wie kommt der denn ? Mails , Webseiten ... Hast du da Infos ? Dann sollten wir mal ne explizite Warnung und Info an Kunden rausgeben. Zitieren
Gulp 275 Geschrieben 11. Oktober 2007 Melden Geschrieben 11. Oktober 2007 Meinen Recherchen nach scheinen die Virut Varianten zur bereits seit 2004 bekannten Rbot Familie zu gehören und verbreiten sich wohl vorzugsweise über Netzwerkfreigaben. Initialauslöser sind die üblichen Verdächtigen (Mailanhang, Exploit Webseiten, ungepachte Systeme und natürlich User die auf solche Sachen klicken ... ;) ) ...... Mehr, sobald ich mehr weiss ..... [EDIT] Hier schon mal was von TrendMicro zum Virut.A (alle anderen Varianten - B, C, D, E, F, etc - dürften ähnlich gelagert sein) PE_VIRUT.A .... [/EDIT] Grüsse Gulp Zitieren
Velius 10 Geschrieben 11. Oktober 2007 Melden Geschrieben 11. Oktober 2007 Unsere Rechner sind 'noch' sauber.... Mein Beileid:( ...jetzt müsste man nur noch wissen, wie sie die Infektion verbreitet hat.:suspect: Zitieren
Gulp 275 Geschrieben 11. Oktober 2007 Melden Geschrieben 11. Oktober 2007 Hier noch ein paar Infos zur Virut Familie von F-Secure: F-Secure Malware Information Pages: Virus:W32/Virut Die meisten AntiVirus Hersteller haben einen oder mehrere generischen Virut Codescanner (Symantec beispielsweise schon seit April 2007, McAfee seit Juni 2007, ) in den Virendefinitionen und sollten mittlerweile eigentlich so gut wie alle Abkömmlinge damit abfangen können. Allerdings scheinen einige neuere Varianten ziemlich resistent zu sein und schlüpfen durch die Maschen (siehe speziell zu NOD32 im WilderSecurity Forum folgenden Threads: NOD32 Support Forum) ..... Grüsse Gulp Zitieren
zahni 571 Geschrieben 11. Oktober 2007 Melden Geschrieben 11. Oktober 2007 Ich habe neulich 'ne Spam-Mail mit dieser Seite bekommen: www. annebehnert .info . In dem dortigen Link kommt 'ne nette EXE, die unser Symantec CE 11.5 immer noch nicht als "böse" erkennt (lt. Scan & Deliver hat Symantec Security Response die Datei "rejected"). Vielleicht ist das oder ähnlíche Seiten die Quelle ? Bei Avira hat die xe übrigens die Namen "DR/Delphi.Gen" bekommen. -Zahni Zitieren
Gulp 275 Geschrieben 11. Oktober 2007 Melden Geschrieben 11. Oktober 2007 Off-Topic: Symantec CE 11.5 ? Heisst die neue 11er nicht Symantec Endpoint Protection? GrüsseGulp Zitieren
zahni 571 Geschrieben 11. Oktober 2007 Melden Geschrieben 11. Oktober 2007 Sorry, ich meine 10.1.5 (Null Verschluckt) ( SCS 3.1.5) -Zahni Zitieren
Velius 10 Geschrieben 11. Oktober 2007 Melden Geschrieben 11. Oktober 2007 Angeblich soll das Teil (Virut) sogar den Code der Scanner manipulieren - fraglich, wieviel Wahres da dran ist. Scheint in giftiges Teil zu sein...:mad: :mad: Zitieren
IThome 10 Geschrieben 11. Oktober 2007 Autor Melden Geschrieben 11. Oktober 2007 Oh ja, das ist er, ich weiss das jetzt ... :D Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.