Trojaner / Virus... was weiss ich...

[Serva]

Also ich erzähl mal das ganze von vorne...
Zuerst hab ich vor nen paar Tagen die E-mail mit der Geschichte mit der Polizei und den Raubkopien und dass ein Verfahren gegen dich eingeleitet werden würde geschickt bekommen...
Da ich im Forum schon mal drüber gelesen hatte und man dort meinte es wäre nur nen schlechter Witz hab ich mir keine weiteren Gedanken drüber gemacht!!

Ich hab den Attachement net geöffnet!! Hab die E-mail aber nicht ausem Posteingang gelöscht (jetzt schon)

Dann hab ich heute ne Failure Delivery gekriegt... naja.. mach ich se auf, um zu gucken welche Email denn wieder net ging... und was sehe ich da? Lauter Mailadressen die ich net kenne... (dies nach Mailer Demon anscheinend dann auch gar net gibt) dann guck ich welche E-mail das war die ich da verschickt hab...
und da les ich

Zitat:

Juten Tach,
habe mal einen internet port scan gemacht. dabei konnte
ich deinen rechner sehen und einsteigen.
deine mail adresse hab ich auch auf deinem pc gefunden.

bei dir ist der trojaner smss.exe am wüten. deshalb kann
jeder auf deinen rechner zugreifen!
du kannst ja mal den taskmanager öffnen, und versuchen ihn zu beenden.
du wirst aber feststellen, das er sich nicht beenden lässt.
solltest du windows98/me haben, siehst du ihn erst gar nicht im task!

dieses hartnäckige miststück hatte ich auch mal drauf, 3 tage
hat es gedauert, bis ich endlich ein programm zum entfernen
gefunden habe. ich hab's dir mal mit beigetan. wenn fragen,
meld dich einfach.

Die Email hatte ich noch nicht mal gelesen... demnach kann ich sie auch noch nicht weitergeleitet haben... Es muss also was auf meinem Computer drauf sein was das da weitergeleitet hat!!

Dann geh ich in meinen Bulk ordner.. und da find ich dann tatsächlich ne neue E-mail... mach se auf, und es dieselbe wie die da oben... gut... dann wollte ich mal kontrollieren was es mit dem smss.exe auf sich hatte... hab das ganze gegoogelt.

Dann landete ich hier:

Link

Dabei wäre diese beiden Beiträge hervorzuheben:

Zitat:

Habe auch dieses Mail bekommen,aber nur zum lesen aufgemacht und dann sofort aus meinem Posteingang gelöscht. Habe ich jetzt ein Problem? Und wie kann ich sicher gehen das ich diesen Trojaner nicht auf meinem PC habe?
Danke für eure Hilfe!!

Zitat:

Nein, in dem Fall hast du mit dem Virus kein Problem.

Ich hab das Attachement net geöffnet, hab die Mail aber nicht gelöscht!! Was kann es dann nur sein?

Bei einer weiteren Recherche stoße ich hierauf:

Link

Hervorzuheben wäre:

Zitat:

Beim Öffnen des Dateianhangs versendet sich die Mail von selbst an das komplette Adressverzeichnis des Nutzers

Ich hab den Anhang NICHT geöffnet... und überhaupt warum wird dann die andere Mail weitergeleitet???

Dann stoss ich auf so nen online-scan... der ist eben abgeschlossen... (symantec) hat nix gefunden

Zitat:

Virus Status: Safe!
Your computer is free of known viruses and Trojan horses.

Dann hab ich weiter in dem Forum da gelesen.. da stosse ich hierauf:

Zitat:

Ej also hier die Übersetzung zu entfernung:
1.)Systemwiederherstellung ausschalten.(Systemsteuereung-System-Systemwiederherstellung- alle Laufwerke deaktivieren.)
2.)Im abgesicherten Modus starten. ---- F8 dann abgesicherter Modus
3.)Nach Viren scannen, mit dem neusten Update.
4.)Reg vom Wurm befreien: (um in die Reg zu kommen : Start-ausführen-gib ein :"Regedit")
zu den beiden strings hin gehen HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
und
"<random text string>"="<path and random file name>" löschen.
Dann neustarten und noch mal scannen.

Ehe ich das machen wollte.. guckte ich in der Registry unter den angegebenen Ordnern...
ist nix so da....

Was soll ich nur machen?? Die Email hatte ich noch nicht mal gelesen trotzdem wurde sie an Leute geschickt die ich nicht im Adressbuch habe... und die es noch dazu nicht gibt!! Ich muss irgendnen Wurm draufhaben!! Ich verzweifele!!

PLEEEASE HELP!!!!!!!!!

hier noch einige zusatzinformationen zu den versandten ADressen...

Zitat:

X-YahooFilteredBulk: 213.135.224.241
Return-Path: <caetchen@yahoo.de>
Received: from 213.135.224.241 (EHLO Q0J2G.de) (213.135.224.241)
by mta156.mail.sc5.yahoo.com with SMTP; Fri, 09 Jan 2004 03:14:53
-0800
From: caetchen@yahoo.de
To: XadressesX@yahoo.de
Subject: Ein Trojaner ist auf Ihrem Rechner!
X-MailScanner: result ok
Importance: Normal
Message-ID: <41999359726905.47511robomail@yahoo.de>
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="_Q0J2G_Mime_005.afb2526159f25f89d1b9"
Content-Transfer-Encoding: 7bit
This is a multi-part message in MIME format.

hautpsächlich das "to: xadressesx@yahoo.de" macht mich nen bissli stutzig.. wird das immer so angeschrieben?? (oben in der Mail ist nämlich die rede von solchen emails wie zb: sahragoerens@yahoo.de (weiss jetzt auch net mehr genau))
Vielleicht kann ja jemand was damit anfangen

So ich glaub jetzt hab ich alles gesagt... please help!!

[MyersGer]

also das mit der smss.exe stimmt.
das ist einfach nur n hoax. harmlose datei die smss.exe

aber nen wurm haste drauf

und so wie symantec das auf deren vireninformationsseite beschreibt gehen die viren wirklich 100%ig vom rechner. dann ist alles clean.
wird schon seine richtigkeit haben wenn die das so schreiben. ich würd einfach mal die paar punkte durcharbeiten.
und dann hoffe ich mal du findest "random string" und "random filename"

hoffe dass klar ist was die damit meinen?!?!

[Shady]

hmm

Hast du kein Antivirentool drauf ???


Ich mein .. Trojaner sind was altes ... dagegen sollten die aktuellen Sachen problemlos helfen

[Antr4ks.de]

Ist bei mir auch irgendwie gewesen. Hatte nen Virus oder so drauf was eine sp.exe war. in MSCONFIG deaktiviert, in der Registry gelöscht, exe im Windows-Verzeichnis gelöscht, und das wars. Wo die aktiviert war wurde auch ständig ne E-Mail abgeschickt die angeblich von mir kommen soll. (also meine Absender-adresse), ich glaub das ist jetzt auch nicht mehr, weiß aber nicht 100%
Da hat mir auch jemand ne E-Mail zurück geschickt den ich überhaupt nicht kenne und schrieb das er von mir dauernd Viren bekommt. Und diese Mailer Demon kam bei mir auch immer, ist jetzt auch weg, naja...

[Serva]

Also ich verstehs net.. symantec sagt es is nix druf... in der registry ist keine der beiden Dinger (so blöd bin ich auch wieder net... das bekam ich hin mit dem in der registry suchen)
aber ich hab was drauf.. ich kann doch keine mails verschicken die ich a) noch nicht mal gelesen hab
b) an Adressen die ich nicht kenne und nicht im Adressbuch habe
c) an Adressen dies noch dazu net gibt...

Das muss was sein... aber DAS ist es nicht...
wie du vielleicht weiss hab ich icq, msn, yahoo (nee ich lad mir kein trillian runter)
meine firewall ist anscheinend nen witz... ( normale dateien lässt der router natürlich nicht durch... (manchmal schon... hängt wohl vom Wetter ab )) ich hab nix angenommen...

Dinger wie Kaaz** hab ich vor zwei monaten den Krieg angesagt... (kaz** ist nix mehr übrig "format c" wegen dem hatte ich schon nen wurm, den nit mal mein Vater mehr aus der Registry rausbekam) hatte aber em*** ... den hab ich jetzt aber schon lange nit mehr benutzt...

davon kommt es meiner meinung nach net...

[klaus52]

Zitat:

Original geschrieben von MyersGer
aber nen wurm haste drauf

und so wie symantec das auf deren vireninformationsseite beschreibt gehen die viren wirklich 100%ig vom rechner. dann ist alles clean.
wird schon seine richtigkeit haben wenn die das so schreiben. ich würd einfach mal die paar punkte durcharbeiten.
und dann hoffe ich mal du findest "random string" und "random filename"

hoffe dass klar ist was die damit meinen?!?!

Öh, ich würde des nicht als so klar ansehen, dass der Wurm aufm Rechner ist... Des Müsste doch der Wurm Sober sein, der sich mit diesen Mails (sowhl der von der Polizei, als auch der hier zitierten) verschickt, ne? Jedenfalls hat mir das mein Virenscanner gesagt, als ich diese Mails grad in meinem Papierkorb angeschaut hat

Beschreibung zu sober bei symantec: http://securityresponse.symantec.com...ober.c@mm.html

Und einfach mal ein wichtiger Teil davon:

Zitat:

Note: W32.Sober.C@mm may spoof the return address

Zu Deutsch: Der Wurm kann die Absenderadresse fälschen!
Nunja, dann kanns also auch sein, dass irgendjemand, der deine Mailadresse irgendwo aufm Rechner hat mit dme Wurm infiziert ist und ihn rumgeschickt hat, und der Wurm hat die Absenderadresse gefälscht, und hat halt zufällig deine eingetragen...

Also, so würd ich mir das am ehesten erklären, wenn der Virsusscanner nichts findet, und auch die anderen Sachen nciht darauf hindeuten, dass dein Rechner infiziert ist....

Aber sicherheitshalber noch der Link für ein extra removal tool, für diesen Wurm: http://securityresponse.symantec.com...oval.tool.html

[ONeil]

hm, im IRC gibts of Trojaner die sich beim klicken auf nen Link installieren und dann Channels voll spammen
Einer überschreitb z.B. den WMplayer... Ob die Würmer allerdings von Virenprogrammen gefunden werden, weiß ich nicht, ich wollte meinen PC zwar infizieren, aber das ging irgendwie nicht

[Antr4ks.de]

Zitat:

Original geschrieben von klaus52
Des Müsste doch der Wurm Sober sein, der sich mit diesen Mails (sowhl der von der Polizei, als auch der hier zitierten) verschickt, ne? Jedenfalls hat mir das mein Virenscanner gesagt, als ich diese Mails grad in meinem Papierkorb angeschaut hat

Jo isser auch, wenn ich mich bei web.de einlogge und auf Unerwünscht oder unbekannt E-Mails klicke steht die E-Mail im Umkreisten Rahmen wo drüber oder drunter steht "Wurm Sober entfernt" oder so

[Mitdaun]

hmm mit sober dürfte eigentlich keiner probs haben wie Zongolo schon sagte löscht web.de die mir immer weg... 6 mal hätte ich son ding schon drufgehabt.....