Need Help - LOVE-LETTER-FOR-YOU.TXT.vbs hat zugeschlagen!!

[Schlaubi]

Hallo leute,

ich hab ein rießen Problem!!! Ich hab gestern an Kazaa angehabt und ein Freund von mir hat irgend nen ****** runtergeladen und plötzlich ging ein Explorerfenster die eine Datei herunterlied, die hieß:

"Win-Bugfix.exe" und auf einmal ging es wahnsinnig schnell, obwohl ich nicht draufklickte hatte ich ihn mir schon eingefangen.

Naja ich dachte, was rödelt da so auf meiner Hdd und ich beendete erst einmal die Internetverbindung. Naja jetzt sind meine ganzen mp3s und jpgs - vbs dateien. Wenn ich ein Explorerfenster aufmache dann ist in der Ansicht "als Webseite anzeigen" aktiviert, und das Layout ist total verstellt. Komischerweise sind manche mp3s dupliziert, sprich die originalen sind auch noch da. Aber manche sind komplett in .vbs files umgewandelt. Ich hab in einem Thread hier gelesen dass ich das wieder rückgängig machen kann, jedoch weiß ich nicht wie.

Danach hat sich auch noch ein Dialer runtergeladen (PORN.exe), als ich die Internetverbindung wieder anmachte und dazu noch eine CRACK.exe

Ich hab mal vorsichtshalber alle Dateien gesichert.

Ich hab da ne Frage an die Mods hier:

Soll/Darf ich wegen der Sicherheit den Quelltext von Virus posten?

Nicht das noch ein Spinner auf die Idee kommt das nachzuahmen!

Ich hab daraus gelernt, denn ich hab seit bestimmt 4 Jahren keinen Virenscanner mehr benutzt und auch keine Firewall.

Nunja ich hab mir den Quelltext mal durchgeschaut und rausgelesen dass der typ von Manila/Philippinen kommt.

Und außerdem steht drinnen, dass der Virus die 'Win32.dll' und die Datei 'MSKernel32' auch durch ne vbs ersetzt.

Was noch wichtig ist, ist dass der Virus (das Skript) automatisch eine HTML Seite baut, auf der folgendes draufsteht.....

META NAME="Author" CONTENT="spyder / ispyder@mail.com / @GRAMMERSoft Group / Manila, Philippines / March 2000"

#weiß jemand was über diese Group????

Please press 'YES' button to Enable ActiveX

#was ist ActiveX?

Ps: den Yes button hab ich vorsichtshalber mal nicht gedrückt.

Ach ja, falls jemand wissen will wo der Virus gehostet wird:

www.skyinet.net < <<< die sollte man verklagen!

Ich bin für jede Hilfe dankbar!!

danke schonmal im Voraus - Linux Rulez!

[mtn]

Mit diesem Tool solltest du den Virus von der Platte kriegen, zudem werden deine versteckten MP3s gesucht und wieder sichtbar gemacht

Active X ist eine Entwicklung von Microsoft, welche die Freigabe von Informationen zwischen Anwendungen erleichtert und die Einbettung beliebiger Objekte (Video, Sound,...) in fremden Dokumenten wie z.B. Web-Seiten erlaubt.

[TschiTschi]

Original geschrieben von mtn

Active X ist eine Entwicklung von Microsoft, welche die Freigabe von Informationen zwischen Anwendungen erleichtert und die Einbettung beliebiger Objekte (Video, Sound,...) in fremden Dokumenten wie z.B. Web-Seiten erlaubt.

... und es damit ermöglicht, dass eine Website praktisch Zugriff auf alle Windows-Dateien auf Deinem Rechner bekommt. Also: BRANDGEFÄHRLICH!

Weitere Infos findest Du auch auf meiner Seite über ActiveX (und Java)!

GG

[Schlaubi]

.....so das wäre geschafft...VIELEN VIELEN DANK Leute, zum Glück gibts hier so schnelle Antworten, nochmals big thx!!

ich hab mir schon sowas ähnliches gedacht bei "Active X"

gut, dass ich da nix ausgeführt habe.

Nunja was ich ziemlich erschreckend finde ist, dass in dem Skript stand:

Author: blabla © 2000

Hey das war vor 2 Jahren, stimmt das? Wenn das wirklich so ist dann ist das schon heftig. Gut das ist/war mein erster Virus/Wurm seit 3 oder 4 Jahren. Jetzt kommt aber nen Virenscanner und ne Firewall ins Haus *sfg

oder ich lass nur noch die Linux Partition rödeln *gg

als nochmals danke leute!!

-------------------------------

NACHTRAG:

Es kam zwar 'lovevirus was found and successfully removed',

aber ich hab jetzt nochmal nachgeschaut und die vbsen sind nach wie vor da, zwar nicht mehr so groß wie ne mp3 jedoch sie sind da.

D.h. sie wurden nicht gelöscht (weil manche mp3s sind dupliziert und heißen song1.mp3.vbs und es gibt aber auch noch das original song1.mp3 das jedoch versteckt ist.) Und außerdem bekomme ich bei meiner Ansicht ein total komisch Layout das auch nicht mehr so ist wie früher.

Muss ich die vbsen jetzt löschen und die bei den original mp3s den Haken bei "versteckt" rausnehmen, oder gibts da ne andere Lösung? Ich dachte das Tool von Symantec mach das automatisch - stand jedenfalls da

bye

[Alrik Fassbauer]

Nachtragstip:

Die Datei hieß blabla.TXT.VBS

Bei Leuten, bei denen die Standardeinstellungen noch eingeschaltet sind, ist natürlich nur blabla.TXT zu sehen.

Das sollte man im Explorer (Extras/Ordneroptionen/Ansicht oder ähnliches) tunlichst ausschalten ! :

Die Einstellung "bei bekannten Datentype Dateierweiterung ausblenden" sollte DEaktiviert werden !

Sonst bekommt man in der Tat *nie* das Anhängsel .VBS angezeigt...

Möge der Nächste daraus lernen...

[Schlaubi]

Ok, gut, danke für den Tipp, das hab ich schon getan. Jedoch hat mir ActiveX doch etwas zugesetzt

Denn bei mir ist alles verstellt, auch wenn ich alles mp3s gleichzeitig markieren tu und dann --> rechte Maustaste --> Eigenschaften --> den Haken bei 'versteck' entferne, sind die mp3s immernoch versteckt wenn ich die Option Alle Dateien anzeigen wieder deaktiviere.

Hat jemand nen Tipp??

[Debi@N]

Ich hab da mal ne Frage zu dem Thema:

Kann man die Betreiber dieser Page nicht verklagen?

Denn nach Rechtssprechung ist der Betreiber der Homepage doch für dessen Inhalt verantwortlich.

Also sagt ma??

Zu dem Virus ne kleine Sache noch:

Also ich hatte Antivir verwendet:

http://www.antivir.de

Dann konnte ich auswählen ob ich reparieren oder löschen will.

Dann natürlich reparieren und alle Daten wurden wieder flott gemacht =)

Also keine Verluste oder Rückstände.

Leider bietet Antivir nur noch die Demo an aber ich habe noch die natürlich FREEWARE Version zu Hause die es noch vor einen halben Jahr gab :-)

Die musst du dann nur updaten und hast die Vollversion *gg*.

Dieses Programm hat mir schon oft den Arsch gerettet ;-)

Wenn du es willst kann ich dir es per E-Mail schicken oder noch besser ich zieh es auf meinen FTP und du ziehst es dir .

sag halt wie du es möchtest )

Müsste dann aber erst heute abend meinen FTP anwerfen da ich nicht zu Hause bin....

Gruß

K.D.C.1994

P.S.: "ich bin root ich darf das"

[Alrik Fassbauer]

Wenn der Betreiber einer Webnseite verklagbar ist, dann haben wir uns auf eine neue Abmahnwelle einzurichen...

Etwas Verantwortungsgefühl sollte schon sein, aber man sollte auch als User ein Gespür für Sicherheit entwickeln...

Nochmal zu Kazaa, oder wie das Ding heißt: Von Heise gibt es einen Artikel über einem Wurm da drin:

http://www.heise.de/newsticker/data/ju-19.05.02-000/

Zu den MP3's : Ist es möglich, daß die a) eine andere Dateierweiterung "bekommen" haben, oder gelöscht sind ?

[beebof]

Original geschrieben von Debi@N

Kann man die Betreiber dieser Page nicht verklagen?

Denn nach Rechtssprechung ist der Betreiber der Homepage doch für dessen Inhalt verantwortlich.

nach deutscherrechtsprechung ist das so.... aber der virus liegt nunmal nicht auf einem deutschen server... es gilt jeweils die rechtsprechung von dem land, in dem der server auch steht.

@debian:

unter http://www.free-av gibt es die weiterhin kostenfreie Personal Version von Antivir...

[DonMaro]

Original geschrieben von Debi@N

Leider bietet Antivir nur noch die Demo an aber ich habe noch die natürlich FREEWARE Version zu Hause die es noch vor einen halben Jahr gab :-)

Die musst du dann nur updaten und hast die Vollversion *gg*.

Das stimmt nicht... für private Zwecke gibt es Antivir immer noch zum Download... nämlich hier...

Und nicht vergessen, schön regelmäßig die wunderbare Funktion des Internet-Updates nutzen... wenig Aufwand, der viel Aufwand ersparen kann...

(@TschiTschi: Sehe gerade, das mein Vorgänger das schon gepostet hat... allerdings funzt das "Löschen"-Häkchen nicht... sonst wär der Beitrag schon weg...)