Seit ein paar Tagen kriege ich "lustige" Mails mit komischen Dateianhängen, die ich allesamt unbesehen gelöscht habe.
Heute kam dann schließlich Post mit diesem Text:

"Ich bekomme ständig von Ihnen Spam Mails mit einem Virus im Gepäck.
Sie sollten diesen Entfernen!!
Lesen Sie sich das Dokument durch, bevor Sie meine oder anderen Mailbox sprengen!
Mit freundlichen Grüßen:"
Die Absender-.Adresse stammte von einem andern Kunden meines Mail-Account-Providers. (gmx, um genau zu sein.)

Und das hier auch gleich 2 mal:
"Kaspersky Lab Int. und Norton Anti Virus haben einen neuen Typos von Wurm entdeckt.
Der Wurm nennt sich selbst "ODIN" und konnte sich bist jetzt,
unbemerkt auf vielen Computern ausbreiten!
Der Wurm versteckt sich im Bildschirm-Schoner!
In der -Screen_Doku- Dokumentation lesen Sie, wie Sie den Wurm
mit wenigen Schritten das Handwerk legen können.

Robot<Transmission> %8565286%"

Diese "Dokumentationen" habe ich auch nicht angeschaut, denn ich öfnne keine mir fremden Dateien.
Ein Virusscan hat keine Ergebnisse bei mir gebracht, aber vielleicht kann mein Virusprogramm diesen Bengel auch einfach nciht erkennen (Ich habe AntiVir XP in der neuesten Fassung)

Nun weiß ich nicht, ob ich tatsächlich eine Virus habe oder diese Mails auch nur Versuche darstellen, mir einen anzuhängen...

Ich bin leider nicht so sehr bewandert in diesen Sicherheitsdingen, weil ich bisher zum Glück noch keine Probleme mit irgendwelchen Viren hatte.

Viele Grüße
katsis

Viele, wenn nicht inzwischen alle, Würmer (Viren duplizieren sich nicht auf fremde Systeme) faken die Absenderadresse. Kann also gut sein, das irgendein Bekannter von dir nenn Wurm auf seinem System hat und sich dieser Wurm einfach deine Mailadresse aus seinem Adressbuch gefischt und als Absenderadresse angegeben hat.

Von einem guten Virenschutz mal abgesehen besteht der beste Schutz immernoch darin kein Outlook express und keinen Internet Explorer zu verwenden.

CU
Ghettomaster

Und genau zu diesem Wurm gibt es nun auch Info&#39;s. Der gute heißt W32.Sober (erinnert an Sobig) und hier (http://www.webmasterpro.de/content_news-6196.php) gibts genauere Informationen über ihn.

Ich hab "mir" heute den auch zugeschickt...glücklicherweise hat ihn Norton gekillt.

ehm schön und gut, aber wie werde ich wieder los?

ich habe ihn und mein norton lässt sich nicht einschalten...

und manchmal erscheint ein fenster mit count down zum neustart

ich habe win XP professional,40GB, keine Ahnung wieviel Mhz und Arbeitsspeicher...

Du hast den "W32.Blaster" auf deinen System...

1) start -> ausfuehren -> msconfig
2) dienste -> msblast.exe deaktivieren
3) systemstart -> msblast.exe deaktivieren
4) im taskmanager -> prozesse -> msblast.exe beenden
5) Den Blaster Killer von Norton nutzeb
6) rebooten
7) patch draufspielen



Blaster Killer von Norton (http://www.sarc.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html)

Patch (http://www.microsoft.com/germany/ms/technetservicedesk/bulletin/bulletinms03-026.htm)

Auf alle Fälle Surfe nie ohne Firewall

Ich sags gerne immer wieder, indem man die Bordeigene Windows XP Internetverbindungsfirewall aktiviert geht man dem ganzen W32.Blaster Stress aus dem Weg.

CU
Ghettomaster

danke für eure hilfe, aber wenn man sich mit compis net auskennt, so wie ich, tja dann bleibt einem nur euch zu fragen... :D


ehm okay, was ist wenn ich msblast.exe nicht finde???

okay, der virus ist noch immer und, aber ich geh trotzdem weiter fröhlich ins netz.

frage: ich will neuaufsetzen, um diesen virus loszuwerden, kann ich irgendwie vorher alles auf diesem rechner löschen???

Habe heute folgende Email erhalten:


Juten Tach,
habe mal einen internet port scan gemacht. dabei konnte
ich deinen rechner sehen und einsteigen.
deine mail adresse hab ich auch auf deinem pc gefunden.

bei dir ist der trojaner lsass.exe am wüten. deshalb kann
jeder auf deinen rechner zugreifen&#33;
du kannst ja mal den taskmanager öffnen, und versuchen ihn zu beenden.
du wirst aber feststellen, das er sich nicht beenden lässt.
solltest du windows98/me haben, siehst du ihn erst gar nicht im task&#33;

dieses hartnäckige miststück hatte ich auch mal drauf, 3 tage
hat es gedauert, bis ich endlich ein programm zum entfernen
gefunden habe. ich hab&#39;s dir mal mit beigetan. wenn fragen,
meld dich einfach.


Als Anhang war eine Datei mit dem Namen remove-lsass.exe.

Finde ich ziemlich witzig, denn wenn man ein wenig Ahnung hat, dann weiß man dass lsass der lokale Sicherheitsdienst von Windows ist (Local Security Authority Subsystem), auch hier (http://www.frankn.com/html/lsass_exe.html) nachzulesen.
:lol:

Langsam finde ich diese Spammer aber ziemlich dreist.
Habt ihr auch schon einmal solche tollen Mails erhalten?

Jup, mit exakt selbem Text, ausser dass der böse böse Trojaner smss.exe hiess.

Originally posted by Game Queen MaidMary@06.01.2004, 20:27


Finde ich ziemlich witzig, denn wenn man ein wenig Ahnung hat, ........
.......... was ~90% der Windows User nicht haben :rolleyes:

Genau deshalb sollte man KEINE Programme, welche man zugeschickt bekommt, ausführen. Schon gar nicht von "großen" Herstellern, wie Mirkosoft. Die verschicken nämlich keine Programme.....

Grundsätzlich ist JEDES MAIL, welches ganz "uneigennützig" helfen will, eine Falle &#33; Trust noone &#33; Nicht einmal mails von bekannten Absendern.

schaut mal auf die seite tu-berlin(hoaxinfo) (http://www.tu-berlin.de/www/software/) unter der rubrik email-viren-hoax nacht da gibst infos über fakemails und sicherheit von compis.

borg22

@borg
Danke für den Link. Die Seite ist wirklich sehr informativ. Jetzt weiß ich auch wieder, dass diese Dinger Hoaxes heißen.

Und dass man keine Dateien öffnen sollte, die man zugeschickt bekommt und die man nicht erwartet oder dessen Absender man nicht kennt ist oberstes Gebot.
Ich hatte jedoch mal einen Wurm auf meinem Rechner, der sich ausgebreitet hat, obwohl ich keinen Dateianhang geöffnet habe. Outlook hat das von alleine geöffnet. War ziemlich ärgerlich, da dann der Wurm automatisch an eine Bekannte auf ihre Firmen E-mail Adresse weitergeschickt wurde. Hat wohl das ganze Netzwerk infiziert. <_<

Hab auch gerade was Interessantes auf der Seite gefunden:



Achtung&#33;
Wenn Sie seit Samstag, 20.12.2003, &#39;seltsame&#39; Mails erhalten, schauen Sie bitte auch mal auf die Seite aktuelle Virenmeldungen. Beachten Sie dort die Details (Beispiel-Mails) zum Virus/Wurm W32/Sober.c&#33;
Dieser Wurm versendet Mails in deutscher Sprache, deren Texte wie Hoaxes erscheinen können. Das sind z.B. Warnungen vor angeblichen Trojanern in lsass.exe, smss.exe, service.exe oder angebliche Hinweise auf Raubkopierer, illegale Downloads, Ermittlungsverfahren, etc.

Also am besten doch mal prüfen ob man nicht diesen Wurm auf seinem Rechner hat&#33;

Naja es gibt ja HTML-Viren die sich aktivieren wenn man in Outlook die Mail nur ansieht ohne sie oder die Attachments selber zu öffnen (ist &#39;ne Standardeinstellung die man auch ausschalten kann).

Das nennt sich Active-Scripting dabei handelt es sich übrigens nicht um HTML-Viren da es sowas nicht gibt. Sondern meist um Java oder VB Exploits.
Das beste Mitel dagegen ist, erst gar kein Outlook verwenden. Vom IE sollte man auch die Finger lassen. Noch zu beachten ist, dass die Sicherheitseinstellungen des IE und der Office-Programme gleich sind. D.h. ändert mans bei einem, ändert sichs bei allen.

@Bademeister

Ja. So ist der Wurm den ich mal draufhatte auch auf meinen Rechner gekommen. :(

Ich hab die Mail auch bekommen... ich hab die mir sogar selber geschickt&#33;&#33;&#33;
Dann hab ich noch diese bekommen:


Sehr geehrte Damen und Herren,

das herunterladen von Filmen, Software und MP3s ist illegal und somit Strafbar.

Wir möchten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter
der IP 194.35.124.34 erfasst wurde. Der Inhalt Ihres Rechner wurde als Beweismittel
sichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingleitet.

Die Strafanzeige und die Möglichkeit zur Stellungnahme wird Ihnen in den nächsten
Tagen schriftlich zugestellt.
Die von uns gesammelten Daten unter dem Aktenzeichen #21104
sind für Sie und ggf. Ihrem Anwalt beigefügt und einsehbar.

Da wir negative Erfahrungen mit Mailbomben in der Vergangenheit
gemacht haben, wurde die Herkunft dieser Mail verschleiert.


Nähere Auskunft erteilt Ihnen die Kriminalpolizei Düsseldorf,
Europa Sonderkommission "Internet Downloads"
Rufnummer innerhalb Deutschland (0211) 870 - 0 oder (0211) 870 - 6868
Rufnummer außerhalb Deutschland (0049211) 870 - 0 oder (0049211) 870 - 6868

Hochachtungsvoll

i.A. PK Mollbach

Im Anhang hat mir dann die "Polizei" ein schicken Wurm mitgeschickt.


Norton AntiVirus hat folgenden Anhang entfernt: aktenz21104.cmd.
Der Anhang enthielt die Bedrohung W32.Sober.C@mm.

Nicht nur auf Deutsch.....sogar mehrsprachig...


Ladies and Gentlemen,
Downloading of Movies, MP3s and Software is illegal and punishable by law.

We hereby inform you that your computer was scanned under the IP 61.141.237.20 . The
contents of your computer were confiscated as an evidence, and you will be indicated.
In the next days you will receive the charge in writing.
In the Reference code: #46361, are all files, that we found on your computer.

The sender address of this mail was masked, to fend off mail bombs.


- You get more detailed information by the Federal Bureau of Investigation -FBI-
- Department for "Illegal Internet Downloads", Room 7350
- 935 Pennsylvania Avenue
- Washington, DC 20535, USA
- (202) 324-3000

und die IP ist auch frei erfunden, da ich immer 200er IP&#39;s habe.
Kaum zu glauben das fast die Hälfte des weltweiten E-Mailverkehrs nur noch aus solchem Scheiss bestehen.
Wenn man bedenkt welche Bandbreiten dafür weggehen und welche Millardenkosten dieser Mist verursacht...

.... und verdammt viel Bandbreite geht auch immer noch durch den MS-Blaster verloren, der heute, nachdem seine Hochzeit schon laaaange vorbei ist immer noch nur wenige Sekunden braucht, um ein ungepatchtes XP, das sich unvorsichtigerweise ins netz verbindet, zu befallen.

Wir können alle froh sein, dass Blaster keine *ernsthafte* Schadensfunktion hatte. Ich möchte nicht wissen, auf wieviel XP-Rechnern er heute noch "aktiv" ist.

Microsoft, das sich immer wieder aufs neue "Sicherheit über alles" auf die Fahnen schreibt, ist in akutem Zugzwang. Viele User sind nachwievor den ganzen "Gefahren" des Internets, die sich auf immer ausgefuchstere Art ihren Weg auf die PCs suchen (siehe oben), nicht gewachsen.

o.g. virus hab ich auf meinem pc, die infizierte datei heißt:

rwfdkrdv.exe

norton antivirus 2003 (auf dem neusten stand) kann gar nix machen, die datei lässt sich auch manuell nicht löschen.

irgendwelche vorschläge?

versuch den prozess herauszufinden auf welchen der virus zugreift, beende diesen und lösch dann die datei. oder warte enfach auf das update von Symantec ;)

schau mal auf die seite trojanerinfo (http://www.trojanerinfo.de) da könnt vieleicht was für dich dabei sein.

borg22

ps:ich hab nichts unter dem namen gefunden

versuch den prozess herauszufinden auf welchen der virus zugreift, beende diesen und lösch dann die datei.

danke so hats geklappt. :D


schau mal auf die seite trojanerinfo da könnt vieleicht was für dich dabei sein.

ps:ich hab nichts unter dem namen gefunden

hab auch nix finden können, aber nun isser ja wech...hoffe ich&#33; ;)

Jau ich weiss noch wieviel Schiss ich hatte als ich auf einmal da die Mail vom Staatsanwalt hatte. Ich meine, es gibt bei mir kein illegales Material was so einen Wahnsinn veranlassen würde... :lol: :lol:

Jedoch hörte sich das alles ganz schlüssig an, bis ich die IPs verglich, den Anhang sah, und den Absender für sehr suspekt hielt. All dies brachte mir dann Beruhigung, aber ich muss zugeben das ich für kurze Zeit mein Leben für einen einzigen Müllhaufen hielt.

Naja. Egal.

Mein Virenprogramm Antivir hat vor ein paar Tagen den Virus TR/Small.AR auf meinem Notebook gefunden. Die befallene Datei war "c:&#092;x.exe". Zusätzlich gabe es noch eine Datei "y.exe", die allerdings nicht erkannt wurde.
Nachdem ich beide Dateien gelöscht habe findet Antivir nichts verdächtiges mehr, trotzdem erscheint ständig im Infobereich der Taskleiste (Windows XP) für kurze Zeit (zu kurz um es erkennen zu können) eine Anwendung, welche sofort wieder verschwindet. Im Taskleisten-Menü "Info-Bereich anpassen" ist unter vorherige Elemente das Element "Sie haben neue E-Mail-Nachrichten" aufgeführt zusammen mit dem Symbol für Wechselstrom-Betrieb. Vor dem Auftreten des Virus war dies noch nicht der Fall.
Bisher habe ich im Internet noch keine Informationen über den Virus gefunden.
Ich hoffe, dass von euch jemand mir vielleicht helfen kann.

Nur um es generell mal festzuhalten, es ist normal das manchmal Programme ganz kurz in der Taskleiste auftauchen, das sind meist ganz normale Windows Dienstprogramme wie z.B. das Windows Media Update.

CU
Ghettomaster

Wenn es ein Windows-Dienstprogramm wäre, wäre es ein ziemlicher Zufall, dass es zusammen mit diesem Virus auf einmal aufgetaucht ist. Dass ich es bisher nur übersehen habe, halte ich auch für unwahrscheinlich, da dieses "Zucken" in der Task-Leiste doch sehr auffällig ist.
Außerdem sind die automatischen Windows-Updates bei mir ausgeschaltet.

Schau mal in der Registry im Key "HKEY_LOCAL_MACHINE&#092;SOFTWARE&#092;Microsoft&#092;Windows&#092;Curr entVersion&#092;Run" nach, ob dort ein verdächtiges Programm gestartet wird. Wenn dir was unklar ist, dann poste einfach alle Programme, die drin stehen.

Außerdem, schau mal im Startmenü im Autostart rein, ob da was verdächtiges steht...

Bei mir ändert sich nach jedem Neustart die IE-Startseite. Ich habe normalerweise einfach ne leere Seite eingestellt, aber jetzt kommt jedesmal so ne seltsame Suchmaschiene. Wenn ich es dann wieder auf leere Seite umstelle ist es gut bis zum nächsten Neustart.
Ich habe schon Norton 2004 und Adaware durchlaufen lassen, und die Cookie und alles gelöscht aber es kommt immer wieder.
Was kann ich machen?
Hier mal die Registry:HKEY_LOCAL_MACHINE&#092;SOFTWARE&#092;Microsoft&#092;Win dows&#092;CurrentVersion&#092;Run
http://mitglied.lycos.de/alexmorre/screen.JPG

Ist da irgendwas das da nicht hingehört? Oder was kann ich sonst machen?

ich hatte mal das gleiche, erst einmal die exe entfernen

dann regedit ausführen -> hkey_current_user/software/microsoft/internetexplorer/main

und dort den eintrag start page (der ja von dem bösen ding verändert wurde) umbenennen, anschließend den eintrag start page neu machen und den umbenannten löschen (klingt kompliziert, ist es aber nicht ;) )

was sein kann ist dass es einen eintrag mit start page_1 gibt, den kannst auch löschen

Danke, aber welche Exe muss ich denn löschen?

normalerweise wird dir ne exe hinterlassen von der speziellen seite, in fast allen fällen entfernt die adaware sowieso aber man kann ja nie wissen ;)

selbst wenn du sie schon einmal mit adaware gelöscht hast kanns sein dass sie dank des registry eintrags wieder da ist also sicherheitshalber nochmal mit adaware nachschaun

Enkidu: Ich habe auch keine weiteren hilfreichen Infos gefunden.
Wenn ich bei Google suche, erscheint noch auf Seite 1 ein Link zu diesem Thread hier. *g*
ich gehe aber davon aus, dass das Ding weg ist, wenn du die Dateien gelöscht hast und dir keine merkwürdigen Prozesse auffallen.

Bei meinem Notebook erscheint übrigens auch öfters irgendeine "Anwendung" im Tray, die sofort wieder verschwindet. In meinem Fall sind das irgendwelche Popup-Blasen vom System selbst, die mich z.b. panikartig darüber in Kenntnis setzen wollen, dass auf meiner Systempartition nur noch 5 MB frei sind, etc. Diese Funktion habe ich aber mittels XPAntispy deaktiviert - daher verschwinden die Blasen gleich wieder, ohne mich zu nerven - spätestens wenn ich mit dem Mauscurser darüberfahre.

L_G: Zuerst eine Bitte: Könntest du eventuell das Bild etwas verkleinern bzw. auf den relevanten Ausschnitt zurechtschneiden? Du sprengst diesen Thread damit. ;)

Deiner Beschreibung nach hast du dir wohl irgendwas gefangen.
Das kann was harmloses wie My Search (http://doxdesk.com/parasite/MySearch.html) sein (kommt z.B. über Morpheus oder Grokster ins System und beschränkt sich darauf, dich - IE vorausgesetzt - ab und an auf die nette Such-Seite zu leiten), oder auch etwas schlimmeres. Dass NAV nix findet, bekräftigt nur die negative Meinung, die ich von dem Programm habe. Die meiste Spyware läufft bei Norton halt nicht unter "Viren". Hier hilft dir eher Software wie Spybot Seach & Destroy (http://www.safer-networking.org/) weiter.

Was deinen Screenshot angeht: Bei einer ganzen Reihe der autostartenden Programme frage ich mich nach deren Sinn. (My TV Agent, CHotkey, Dit, Pointer, Soundman). Im Zweifelsfall würde ich diese einfach mal entfernen und dann schauen, ob du was vermisst. Auch würde ich an deiner Stelle die üblichen Verdächtigen Quicktime, Real, Nero, CloneCD und Winamp aus dem Autostart kicken, aber das ist Geschmacks- (und Speicher)Sache.

Dazu aber noch eine generelle Anmerkung: Es ist überhaupt nicht (mehr) nötig, manuell an irgendwelchen Registry-Schlüsseln rumzufriemeln. Microsoft liefert nicht umsonst das (wohlweislich undokumentierte) "Systemkonfigurationsprogramm" msconfig mit. Meines Wissens nach nicht nur unter XP, sondern schon unter 98.

Start > Ausführen > msconfig

Das tool liefert eine komfortable Übersicht über alle möglichen automatisch mit dem System startenden Programme. Wenn man nur mal probieren möchte, ob das Entfernen eines Programmes Auswirkung hat, kann man einfach das entsprechende Häkchen entfernen und im Zweifelsfall wieder neu setzen, falls man doch einen "guten" Prozess gekillt hat, den man noch braucht - und steht nicht vor dem Problem, einen gelöschten Registry-Schlüssel manuell rekonstruieren zu müssen.
Dazu bietet msconfig im Gegensatz zur Prozess-Ansicht im Taskmanager die bequeme Option, die windowseigenen Dienste auszublenden, so dass man schnell mögliche Bösewicht-Prozesse ausfindig machen kann (und auch nicht auf Mails hereinfällt, die einen dazu animieren wollen, den bösen Virus svchost.exe und dergleichen zu entfernen). Also: Die Zeiten, in denen man die "Run"-Schlüssel in der Registry abgrasen muss, sind vorbei. ;)

Ich hab jetzt damit Start > Ausführen > msconfig rumgespielt und meine
HKEY_LOCAL_MACHINE&#092;SOFTWARE&#092;Microsoft&#092;Windows&#092;Curr entVersion&#092;Run
ist auf folgendes geschrupft:
http://mitglied.lycos.de/alexmorre/screen1.JPG

Ausserdem hat Spybot zwar beim ersten Durchlauf nen paar Sachen gefunden.
Aber die Seite kommt immer noch nach jedem Neustart und jetzt findet Spybot nichts mehr.
Genau steht dann bei Startseite:
http://%6B%76%7A%64%6B%69%2E%74%2E%72%61%63%6B%2E%63%63/%68%70%2E%70%68%70
und die Seite auf der ich dann lande http://drxcount.biz/index.php?aid=20037
Folgt dem Link aber besser nicht nachher habt ihr die Kacke auch noch.
Und steht dann noch Cotact Us und dann kommt man zu ner Seite wo das steht:


If you cant change your home page or search page setting
please use spyware removal software.
you can download it here
http://216.180.233.153/~merijn/files/CWShredder.exe

Aber ne Exe von dieser Seite möchte ich gar nicht erst ausprobieren.


Edit
@Alucard:

Ich hab jetzt mal da rein geguckt:
dann regedit ausführen -> hkey_current_user/software/microsoft/internetexplorer/main

Und bei
HomeOldSP
SearchBar
SearchPage
Startpage

steht dies http://%6B%76%7A%64%6B%69%2E%74%2E%72%61%63%6B%2E%63%63/%68%70%2E%70%68%70
hinter.
Aber wenn ich das lösche oder auf about:blank ändere ist es nach dem Neustart auch wieder da.

Vielleicht ist das ein guter Zeitpunkt, um auf einen anderen Browser zu wechseln. :D

http://www.opera.com
http://www.mozilla.org

;)

hmm... das scheint ja einer der hartnäckigeren sorte zu sein, versuch mal mit der suchfunktion alle einträge zu finden die den eintrag http://%6B%76%7A%64%6B%69%2E%74%2E%72%61%63%6B%2E%63%63/%68%70%2E%70%68%70 haben oder auf den namen der suchmaschinen seite laufen&#33; meistens haben die sogar nen extra eintrag im software verzeichnis also alles was dir irgendwie verdächtig vorkommt anschaun und gegebenenfalls löschen.

unter dieser (http://www.jv16.org/) url solltest du ein recht nützliches programm finden auch wenns jetzt nur mehr ne probeversion ist.

Es ist endlich weg. Nach stundenlangen Kampf hab ich gesiegt.
@Alucard: Deine Tools haben es zwar auch nicht weg bekommen, aber dafür über 800 überflüssige Reg.Keys gefunden und entfernt. War also trotzdem nützlich.
Die Lösung hab ich hier (http://www.chip.de/forum/thread.html?bwthreadid=571421)gefunden.
Dies CW-Shredder war also nichts böses.

Imho hat das regedit -s sys.reg auch nix in deiner Registry verloren. Schaut so aus, als ob bei jedem Start wieder was in die Registry importiert wird. Die sys.reg würde ich mal unter die Lupe nehmen (am besten win Wordpad oder so, weil Doppelklick importiert in die Registry)....


Den Nerocheck kannst du eigentlich auch raushauen, allerdings ist der nix böses.

Wofür ist der Nerocheck denn? Ich hab da extra nicht rumgemurkst, weil ich Angst hatte das der Brenner dann streikt.
regedit -s sys.reg und sys.reg sind inzwischen entfernt worden. Entweder von einem von Alucard-Tools oder von dem CW-Shredder.

Nerocheck: Background Task installed by Nero?s CD Burning software. Straight from Ahead software : "The NeroCheck program looks for known driver conflicts with our Nero software. So that when a Nero Log file is printed, at the very bottom of the Nero log file you will find a list of drivers we have found on your system that could be causing conflicts, if you are running into problems.".

Recommendation :
If Nero is working on your system then you do not need NeroCheck to run. Disable it (...) unless you experience problems with Nero, in which case re-enable NeroCheck to see what the log file reports.
http://www.answersthatwork.com/Tasklist_pages/tasklist_n.htm

Danke für eure Tipps.

Für die, die es noch interessiert:
Nachdem ich im Internet nach verschiedenen Trojaner-Scannern gestöbert und mich durch die Logs von Hijack, FileMon und RegMon gearbeitet habe, glaube ich nun die Ursache gefunden zu haben. Meine neue Antivir-Version, die ich runtergeladen habe (nachdem der Virus gefunden wurde), funktioniert nicht richtig. Der AVGuard, der normalerweise im Hintergrund läuft, kann komischerweise nicht gestartet werden. Alle paar Sekunden versucht Antivir ihn zu starten, was zu diesem "Zucken" in der Task-Leiste führt. Ich versuch jetzt eine Neu-Installation und hoffe, dass es dann klappt.


Was sind eigentlich eure Erfahrungen mit Antivir, bzw. wie gut kann man sich auf ihn verlassen?

Enkidu: Möglicherweise hat der Virus noch einen Mechanismus im System zurückgelassen, der das Ausführen eines Residenten Virenscanners verhindert? Keine Ahnung sonst.. probiers aus. ;)

Ich selbst habe mit Antivir (http://www.antivir.de) beste Erfahrungen gemacht. Die Software ist schlank, unaufdringlich und zuverlässig. Ich habe damit schon einige "befallene" PCs gesäubert. Aus meiner Sicht heraus ist es ziemlich unverständlich, wieso jemand für einen Virenscanner Geld bezahlt, wo es Antivir kostenlos gibt.

Gerade bei NAV höre ich immer und immer wieder von irgendwelchen Problemen im Zusammenhang mit dem speicherresidenten Virenscanner.

Im übrigen ist oft *kein* Virenscanner gegen aktuelle Viren gefeit, denn Signaturen werden mitunter erst Tage nach Ausbrechen einer neuen Virenwelle aktualisiert (so gerade erst wieder bei MyDoom geschehen).
Gegen Spyware hilft er wie gesagt meistens gar nicht - dafür benötigt man zusätzliche Software (siehe oben).

Sicherheit fängt meiner Meinung nach nicht bei der Wahl des "richtigen" Virenscanners an, sondern bei der Einrichtung einer personal firewall, der Verwendung von alternativer Mail / Browser-Software (oder dem ständigen Einspielen neuer Sicherheitspatches für die verbreiteten MS-Produkte) und vorallem dem verantwortungsbewussten Umgang mit eben diesen Programmen und dem Internet im allgemeinen. Benutzer sollten sich selbst im Klaren darüber sein, dass man eine .exe-Datei im Mailanhang, auch wenn die Mail angeblich von der Kriminalpolizei Düsseldorf oder einem guten Freund stammt nicht einfach ausführt - auch wenn der Virenscanner beim Anblick der .exe gleich Alarm schreit und einen gar nicht an die Datei ranlässt. Niemand sollte der Illusion vertrauen, dass das Installieren eines Antivirenprogrammes automatisch für Rundum-Sicherheit sorgt. Die nächste angehängte .pif-Datei lässt der Scanner dann passieren und schon ist der neue Virus im System..

was auch für antivir spricht ist, dass er von der updatesperre von mydoom (oder wars der vorgänger?) nicht betroffen war. während besitzer von symantec und 2-3 weiteren nichts tun konnten.

Tach allemiteinander.

Ist es mittlerweile "üblich", dass sich Viren-E-Mails auch mit fremden E-Mail-Adressen verschicken? Ich hab gestern nämlich zwei Fehlermeldungsmail von zwei Mailservern bekommen, in denen stand, dass sie je eine E-Mail von mir nicht zustellen konnte. Ich hab an die angegebenen Adressen jedoch nie E-Mails verschickt. Bei den beiden beanstandeten Mails handelte es sich wohl jeweils um mit Viren verseuchten Mails ( Die eine Fehlermeldung besagte, dass ein Virus in der Mail gefunden worden wäre, die andere besagt, dass die Mail nicht angenommen wurde, da eine .pif-Datei angehängt war, was ja gerne für Viren benutzt wird).
Die erste Möglichkeit wäre natürlich, dass mein Rechner mit einem Virus infiziert ist und jetzt seinerseits fleißig E-Mails mit Viren verschickt. Allerdings findet mein Virenscanner nix und außerdem war ich dem besagten Zeitraum auch gar nicht online. Dann kann es natürlich grundsätzlich sein, dass die Fehlermeldungsmails selbst Virenmails sind, was aber eigentlich wegfällt, da sie keinen Anhang haben.
Lange Rede, kurzer Sinn oder besser Frage:
Werden solche Virenmails mittlerweile auch mit gefälschten Adressen verschickt? Ist ja keine allzugroße technische Schwierigkeit. Mich wundert es nur, dass mir sowas letzter Zeit öfters passiert und vorallem mittlerweile eine E-Mail-Adresse von mir betroffen ist, die ich eigentlich kaum verwende und nicht vielen bekannt ist. Aber okay, vielleicht hat&#39;s ja irgeneinen der "wenigen" erwischt.
Ist denn momentan ein Virus unterwegs, der genau nach dieser Methode vorgeht: also irgendwelche Rechner infiziert, dort Mailadressen sucht und sich nicht, wie sonst üblich, mit der Adresse des infizierten PCs an diese Adressen verschickt, sondern diese Adressen als Absenderadressen benutzt?

CU Falcon

Leider ist das Mail-Protokoll so veraltet, daß eigentlich jeder unter falschem Namen mails verschicken kann.

Ich denke, daß irgendwo ein Virus diese e-mail Adresse in irgendeinem Adressbuch gefunden hat und diese verwendet.

Außerdem ist ein gängiger Trick, solche "Bestätigungs" oder "Fehler" Mails von angeblichen Mailservern zu verschicken, welche einen Virus im Anhang haben. Der Unwissende öffnet die Mail und bamm.

Also, verdächtige Mails löschen und gar nicht erst öffnen. Und natürlich nicht Outlook verwenden &#33;

Originally posted by mukenukem@27.03.2004, 15:22
Außerdem ist ein gängiger Trick, solche "Bestätigungs" oder "Fehler" Mails von angeblichen Mailservern zu verschicken, welche einen Virus im Anhang haben. Der Unwissende öffnet die Mail und bamm.

Ist schon klar. Wie gesagt, kommt das in dem Fall eigentlich nicht in Frage, da die Mails gar keinen Anhang hatten. Hatte aber auch schon solche gefälschte, verseuchten Fehlermails erhalten.

Der Virenscanner von meinen E-Mail-Provider scheint auch recht zuverlässig zu arbeiten, da kommt eigentlich (fast) kein Virus mehr durch. Kann mich zumindest nicht mehr an den letzten erinnern. Allerdings hat die Virenflut bei mir in den letzten Monaten deutlich zugenommen. War es vor einem Jahr noch extrem selten, dass ich einen Virus geschickt bekam, sind es jetzt mal mitunter mehrere pro Woche.

CU Falcon

Hi Leute

habe ein kleines Problem mit meinem Laptop. Hier habe ich XP home am laufen und seit gestern fing das ganze an. Ein kleiner Prozess, im Taskmanger als AVservices.exe angeführt, frisst sämtliche CPU-Zeit und wird speichermäßig immer größer, bis nach einer gewissen Zeit überhaupt nix mehr geht.

Ein Virus? mein Scanner hat nicht angeschlagen, ist immer auf dem neuesten Stand.

hat davon schon wer gehört? wie krieg ich den mist weg. zwar ist ruhe, wenn ich ihn einfach beende, aber nach jedem neustart hab ich das gleiche problem...

edit: bin mir jetzt nicht mehr sicher ob der mist AVserve oder AVservices heisst...

mfg
cronos

Ich glaube nicht, dass das ein Virus ist. Das "AV" könnte eher darauf hindeuten, dass das Teil zu einem Antivirus-Programm gehört. Wenn du nicht weisst, was es ist, solltest du es auf jeden Fall ausschalten. Dazu gehst du auf Start > ausführen und gibst "msconfig" ein. Dort schaust du die Autostartliste durch und nimmst das Häkchen vor "AVservices" weg. In welchem Verzeichnis liegt denn diese Datei? Windows oder ein eigenes Programmverzeichnis?

Hi Nager

tja, dachte ja zuerst auch, dass das irgendwas mit meinem Anti Vir zu tun hat, aber nach einiger zeit konnte ich nicht mal mehr den Taskmanager öffnen. Hab das Mistding, AVserve.exe schließlich im Windows Ordner gefunden...

Aber AVserve.exe ist anscheinend nicht alleine gekomen. habe noch ein paar exes, die sich selbst gestartet haben und die CPU auf Volllast bringen. Doch damit nicht genug, meine W-lan Verbindung ist ausgefallen, musste den Chip Hardware und Softwaremäßig de und aktivieren...

sie haben sich in windows&#092;system32 festgesetzt und nennen sich xxxxx_up.exe, statt xxxx steht eine beliebige Zahl.
ebenfalls ein xxxx_up.exe-yyyyy.pf im Windows&#092;prefetch , statt yyyy steht eine hexzahl...

ausserdem scheinen die generiert zu werden, habe alle gelöscht, jetzt ist schon wieder eine da und kappt mir die Leitung :angry:

vielleicht weiss ja wer was näheres.

mfg
cronos

Da scheint wohl doch ein Virus am Werk zu sein. ;)
Update mal die Signatur deines Scanners..

Um das "selbstkopieren" des virus zu verhindern, musst du den Hauptprozess killen, der dafür zuständig ist. Hau mal alle beteiligten Dateien in ein Backupverzeichnis (zur späteren Einsicht) und versuche, wirklich *alle* Prozesse loszuwerden, die da mit drinstecken (via msconfig ganz bequem - alle Windowsprozesse ausblenden und einfach erstmal testeshalber alles ausschalten, was du nicht kennst. Wenn dann irgendwas nicht mehr funktioniert, kannst du das entsprechende Häkchen jederzeit wieder zurücksetzen).

tja, ein neuer scan mit AntiVir hat gebracht:

Agobot.81920
dedler.f

seltsam nur, dass sich über die keine details finden lassen.

das *_up.exe schein ich jetzt los zu sein, aber der avserv.exe hat einfach mit einem avserv2.exe losgelegt, und da schlägt antivir nicht an...

Nachtrag:

nope, mit antivir werd ich dieses viech anscheinend nicht los :(

gibts da bessere freeware virenscanner? jetzt fangt dieses scheißteil schon an, meine lsass.exe abzuschießen...


mfg
cronos

Also:
1. Mit dem Taskmanager alles abschießen, was nicht koscher scheint.

2. Rechte Maustaste auf Arbeitsplatz, "Verwalten" -> Dienste:
dort suchst du nach Diensten, welche keine Beschreibung haben, diese gehst du dann durch, und wenn dir einer Spanisch vorkommt, dann kannst du ihn beenden und die Startart auf "deaktiviert" setzen (du solltest nur die beenden, welche wie dein virus heißen)

3. In der Registry (mit Regedit) My Computer&#092;HKEY_CURRENT_USER&#092;Software&#092;Microsoft&#092;Wind ows&#092;CurrentVersion&#092;Run die Einträge rauslöschen, welche dir unbekannt sind (kannst ja nach den Dateien suchen und schauen, wo sie herkommen).

Leider kann man damit auch das System ziemlich beleidigen, wenn man was falsch macht, deswegen Vorsicht &#33;

Allerdings hab ich so noch jedes Mitsviech erledigt.
Wenn du bei Dateien unsicher bist, laß dir die Eigenschaften (mit rechter Maustaste) anzeigen, wenn es dort Version, Hersteller, etc. gibt, ist es meist ok, Viren haben keine Herstellernagaben).

Wenn es dir die lsass.exe abschiesst, bist du vielleicht Opfer von "Sasser" (http://www.heise.de/newsticker/meldung/47037) geworden, der (mal wieder, siehe msblaster / lovesan > RPC-sicherheitslücke) eine Schwachstelle (http://www.heise.de/newsticker/meldung/46943) in einem Windowsdienst in WinXP und Win2k ausnutzt (diesmal LSASS).

Microsoft-Patches gibts schon seit zwei Wochen (http://www.heise.de/security/news/meldung/46474), die sich auch jeder reinziehen sollte, der seinen Rechner nicht per Firewall gesichert hat

Zu deinem "avservice"-Problem:

Auch hier nochmal: Manuelle Griffe in die "Run"-Schlüssel der Registry sind unnötig und sogar gefährlich, da man leicht Dinge entfernt, die vielleicht doch wichtig waren und man nicht so einfach per Hand ersetzen kann. Zu dem Zweck gibts das (undokumentierte) tool "msconfig" das alles bequem zum ausschalten und bei Bedarf wieder anschalten auflistet - und einiges mehr, als nur die "run"-Schlüssel.

Mach dich doch einfach mal daran, wie oben schon beschrieben, dir unbekannte Prozesse testeshalber auszuschalten. Wie Muke schon sagte, lässt sich damit immer noch fast jeder Virus kleinkriegen..

@cronos: das was du beschreibst ist nicht nur vieleicht sasser, sondern es ist die beschreibung von dem was sasser standardmässig macht.
Die Hauptbeschreibung des Vorgangs hab ich in den Newsgroups gelesen, weiss aber leider nicht mehr genau wo. Ansonsten findest du hier (http://www.heise.de/security/news/meldung/47037) eine kürzere Beschreibung.
Löusng und Beschreibung von McAffee (http://vil.nai.com/vil/content/v_125007.htm)
Lösung und Beschreibung von Symantec (Norton) (http://securityresponse.symantec.com/avcenter/venc/data/w32.sasser.worm.html)
Und damit das Ganze sich nicht wiederholt hier der Patch von Microsoft (http://www.microsoft.com/germany/ms/technetservicedesk/bulletin/bulletinMS04-011.htm)


edit: ups, der Link zu Heise von Nager ist der Gleiche wie bei mir, hatte ich beim Posten nicht bemerkt da die Seiten anders aussehen. Der Inhalt ist aber gleich.

edit2: zu der avservice Sache, hier nochmal der wichtigste Abschnitt
The worm spreads with the file name: avserve.exe . Unlike many recent worms, this virus does not spread via email. No user intervention is required to become infected or propagate the virus further. The worm works by instructing vulnerable systems to download and execute the viral code.

edit3: @mod (muke): der Thread sollte in Sasser Wurm umbenannt werden, damit das Thema direkt schon vorhanden ist, und nicht jemand den nächsten Thread zum Thema startet. Ich möchte wetten, das einige Forenuser mit dem Wurm bald infiziert sein werden.

Davon ist auszugehen...

Vielleicht sollte doch mal ein gepinnter Thread erstellt werden, in dem beschrieben wird, wie man seinen PC am besten rundherum absichert, um vor den zahlreichen Gefahren des Internet geschützt zu sein - ohne selbst zwangsläufig grosses Fachwissen mitbringen zu müssen. Hätte Cronos eine Firewall oben gehabt, wäre ihm z.b. gar nichts passiert...

Der Thread zur RPC-Sicherheitslücke könnte dann zugunsten eines umfassenderen Postings wieder unpinned werden, da diese Lücke eh schon etwas älter ist und nur einen kleinen Teil aktueller Gefahren beschreibt.

Hallo Leute

danke, bin ihn jetzt los...

jedesmal, als ich ihn gekillt habe, hat er sich wieder neu installiert, dank des hotfixes kommt er auch nicht nochmal.

zu erwähnen wäre noch, dass er später keine performance gefressen hat, und nach *_up.exe* suchen soll und sämtliche dateien die mit einer 3 oder vierstelligen zahl gefolgt von _up.exe findet, ebenfalls löscht.

ich finde es auch eine gute idee, das thema umzubenennen. am besten gleich ganz oben eine symtombeschreibung und anleitung zum entfernen einfügen.

mfg
cronos

Das ist im übrigen wieder einmal ein deutliches Zeichen dafür, dass Antivirenprogramme allein noch nicht für Sicherheit sorgen - selbst mit aktuellen Signaturen nicht. Bei neuen Viren (wie eben wieder Sasser) dauert es oft Tage, bis die Antivirensoftware-Hersteller reagieren. Der Gedanke dass der PC mit einem Antivirprogramm sicher ist und man sich daher selbst um Sicherheit nicht mehr kümmern muss, ist ein Trugschluss.

Viel wichtiger, als die Viren auf seinem PC zu bekämpfen ist doch, sie gar nicht erst drauf zu lassen..

Ich habe gestern auf dem PC eines Bekannten mit aktivem Virenscanner (8 Monate alte Signatur) sagenhafte 11 (&#33;) unterschiedliche Trojaner, Spyware, Dialer und Backdoor-Programme beseitigt... Das passiert, wenn man mit ungepatchtem IE 5.0 mit "active scripting" und ohne Firewall im Netz rumsurft.

Ich habe gestern auf dem PC eines Bekannten mit aktivem Virenscanner (8 Monate alte Signatur) sagenhafte 11 (&#33;) unterschiedliche Trojaner, Spyware, Dialer und Backdoor-Programme beseitigt... Das passiert, wenn man mit ungepatchtem IE 5.0 mit "active scripting" und ohne Firewall im Netz rumsurft.

Ist zwar ein bisschen Offtopic, aber langsam entwickelt sich das Internet zum Tummelplatz für halbidiotische Scriptkiddies und Hobbyhacker. Ich meine ich will ja nicht der "guten alten Zeit" nachtrauern, aber ich kann mich noch an eine Zeit erinnern (etwa 2 Jahre und vorher), da konnte man problemlos wochen- oder gar monatelang ohne Virenscanner (von Firewall mal ganz zu schweigen) im Internet surfen&#33; Da musste man schon von irgendwelchen dubiosen Seiten etwas runterladen um sich nen Virus einzufangen. Und email-Würmer gab es damals noch so gut wie keine. Ich interessiere mich ja für Computer und Netzwerke, daher fällt es mir nicht besonders schwer meinen Computer gegen Würmer/Viren etc. abzusichern. Aber kann man wirklich von jemandem, der vielleicht 1 Std/Tag im Internet surft und sich für Technik einen Dreck interessiert, erwarten das er nen Virenscanner und ne Firewall installieren und aktuell halten kann. Ich finde nicht&#33;

Originally posted by cronos@03.05.2004, 15:03

jedesmal, als ich ihn gekillt habe, hat er sich wieder neu installiert, dank des hotfixes kommt er auch nicht nochmal.

auf der mcafee (nai) seite steht was davon das man den system restore deaktivieren muss vor der säuberung, damit das system nicht den wurm automatisch wiederherstellt

Originally posted by Drago@03.05.2004, 17:22
auf der mcafee (nai) seite steht was davon das man den system restore deaktivieren muss vor der säuberung, damit das system nicht den wurm automatisch wiederherstellt
Tja die Systemwiederherstellung ist ein echter Hit&#33; ;)
Das ist das erste, das ich nach einer Neuinstallation ausschalte.

auch ich deaktivier die sofort, also kann er nicht davon kommen...

mfg
cronos

auch wenns jetzt OT ist: ich find die systemwiederherstellung im allgemeinen sehr praktisch. Ich erstelle immer einen wiederherstellungspunkt vor jeder neuinstallation. Das hat mir schon ein par mal Neuinstallationen erspart.

Originally posted by Haplo@03.05.2004, 16:56
Ist zwar ein bisschen Offtopic, aber langsam entwickelt sich das Internet zum Tummelplatz für halbidiotische Scriptkiddies und Hobbyhacker. Ich meine ich will ja nicht der "guten alten Zeit" nachtrauern, aber ich kann mich noch an eine Zeit erinnern (etwa 2 Jahre und vorher), da konnte man problemlos wochen- oder gar monatelang ohne Virenscanner (von Firewall mal ganz zu schweigen) im Internet surfen&#33; Da musste man schon von irgendwelchen dubiosen Seiten etwas runterladen um sich nen Virus einzufangen. Und email-Würmer gab es damals noch so gut wie keine. Ich interessiere mich ja für Computer und Netzwerke, daher fällt es mir nicht besonders schwer meinen Computer gegen Würmer/Viren etc. abzusichern. Aber kann man wirklich von jemandem, der vielleicht 1 Std/Tag im Internet surft und sich für Technik einen Dreck interessiert, erwarten das er nen Virenscanner und ne Firewall installieren und aktuell halten kann. Ich finde nicht&#33;
Naja. Die Gefahren sind nunmal da und derjenige, der sich entscheidet, online zu gehen, muss sich eben auch darüber informieren. Genauso, wie ich mich vorher über gefährliche Plätze informiere, wenn ich verreise. So würde ich nachts in New York nicht unbedingt den Central Park aufsuchen.

Es sind ja wirklich ein nur ein paar recht einfache Schritte, die den PC schon relativ sicher machen. Eine popelige Firewall, recht schnell konfiguriert ("du darfst raus, du musst fragen, und du gar nicht"), schirmt schon viel ab. Über die Windows-Update-Seite können rechtmässige und schlaue unrechtmäßige Besitzer von Windows XP regelmäßig Sicherheitsupdates herunterladen. Außerdem noch ab und an einen Scan mit einem Antispyware-Tool.

Schlussendlich noch einen aktuellen Virenscanner, der sich vorzugsweise automatisch updatet. Es obliegt dem Benutzer, sich über diese notwendigen Dinge zu informieren. Ich hatte gestern auch mit meinem Dad eine Diskussion, von wegen Virenprogrammierer sollten am besten auf den elektrischen Stuhl. Das ist zwar witzig zum ausmalen, funktioniert aber nicht wirklich. Die Würmer sind nunmal da, die Massenmedien berichten ausgiebig über die Gefahr und sensibilisieren (und manchmal terrorisieren sie sogar) die Bevölkerung. Wer die wichtigsten Schritte unternimmt, sollte kaum Probleme mit Würmern, Spyware und Viren haben.

Das leidige Thema wieder, es braucht eigentlich nur wenige Dinge um ein System halbwegs sicher zu machen:
Keinen Internet Explorer und kein Outlook verwenden, es gibt viele kostenlose Alternativen die darüber hinaus um Welten besser sind.
Bei XP die Internetverbindunsfirewall aktivieren, die schützt momentan auch gegen Sasser.
Hin und wieder das Windows Update Center besuchen.
Einen Virenscanner falls doch mal was durchkommt.
Klaren Menschenverstand und ein gesundes Mißtrauen.
Allein mit diesen wenigen Dingen kann man fast völlig ohne Fachwissen sein System gegen Viren absichern. Leute die auf gutdünken Programme installieren und alles was blinkt anklicken sind doch irgendwo selber schuld.

Im Strassenverkehr muß ich auch Regeln beachten damit es nicht zu einem Unfall kommt, genauso wie im alltäglichen Leben. Ich denke wenn sich jeder Internetnutzer nur 2 Stunden im Monat mit der Thematik auseinandersetzen würde hätten Viren udn Würmer kaum noch eine reele Chance.


CU
Ghettomaster

Originally posted by Ghettomaster@04.05.2004, 09:27
Keinen Internet Explorer und kein Outlook verwenden, es gibt viele kostenlose Alternativen die darüber hinaus um Welten besser sind.
hier habe ich bereits deinen rat beherzigt und opera installiert. kann ich jedem nur empf.&#33; bisher bin ich sehr zufrieden - bis auf eine paar wenige probleme z.b. beim onlinebanking...
kannst du mir einen tipp geben was ich als alternative zu outlook - expresse verwenden kann?

thx a lot

Moin&#33;

Auf der "Amelfin"-Site (http://www.amelfin.de/createframes.php) findest Du auf der Startseite oben in der Link-Sammlung "E-Mail-Clients" - folge ihm, und Du findest zu diesem Thema Testberichte.


Mit freundlichen Grüßen
Lars

Originally posted by SLASH@04.05.2004, 11:13
hier habe ich bereits deinen rat beherzigt und opera installiert. kann ich jedem nur empf.&#33; bisher bin ich sehr zufrieden - bis auf eine paar wenige probleme z.b. beim onlinebanking...
kannst du mir einen tipp geben was ich als alternative zu outlook - expresse verwenden kann?
Wenn du etwas Geld ausgeben kannst/möchtest empfehle ich "The Bat&#33;" der Mailclient ist ein Produkt der ritLabs (http://www.ritlabs.com/de/products/thebat/) und wohl der umfangreichste und benutzerfreundlichste MailClient auf dem Markt.

Wenn es kostenlos und OpenSource sein soll würde ich mir mal Mozilla Thunderbird (http://www.mozilla.org/products/thunderbird/) anschauen.


CU
Ghettomaster

The Bat ist in der Tat ein sehr guter email client. Als ich vor ca. 3 Jahren Outlook Express entgültig den Rücken gekehrt habe, bin ich auf The Bat umgestiegen, weil er...

1. einfach/intuitiv zu bedienen ist
2. sehr sehr viele Konfigurationsoptionen hat
3. sehr sicher ist (HTML abschaltbar, führt keine Scripts aus, usw.)

Allerdings habe ich seit kurzem 2 IMAP Accounts und obwohl The Bat seit Version 2 IMAP (fast) vollständig unterstützt, gibt es doch noch viele Probleme. Dies gilt NICHT für die üblichen POP3 Accounts&#33; Bei POP3 ist The Bat immer noch einsame Spitze&#33; Aber für IMAP ist Mullberry (schwer zu bedienen) oder Mozilla Thunderbird wesentlich besser geeignet.

*klick* Eine neue Seite von Microsoft zum Thema Sasser *klick* (http://www.microsoft.com/security/incident/sasser.asp)?

zwar warens keine sasser, aber dieses bild kann ich euch einfach nicht vorenthalten:
http://mitglied.lycos.de/dischi/images/viren.jpg(man beachte die gefundene anzahl an viren)
auf dem pc eines verwandten gefunden, seit monaten keinen virenscanner drauf. hab mich gewunder wieso winlogon im task manager ~50% der cpu leistung hat. mit adaware stellte sich heraus das 98&#33; dinge laufen die da nichts zu suchen haben unter anderem über 50 mal netsky.c

wo kann ich eigentlich dinge fürs guines buch vorschlagen? :)

Wow, 10% der Dateien auf dem PC waren virenverseucht&#33; Keine schlechte Quote. ;)

O M F G. Das toppt wirklich alles, was ich bisher gesehen habe. Vorallem 50 mal Netsky, der sich ja im Gegensatz zu vielen anderen Bösewichten nicht selbst über gängige Sicherheitslücken installiert. Wie oft hat der da auf Mailanhänge geklickt? *g*

Das Wort "Internetführerschein" kommt einem vage in den Sinn.

die 4k viren waren alles netsky.c aber er war nur ~50 mal gestartet.
tjo waren viele viele kopien, kam etliche male teenblabla.jpg *.scr *.pif aber alles in etlichen wiederholungen.
waren aber wohl nicht nur mail anhänge scheinbar gabs da auch etliche programme die über kazaa den weg auf die platte gefunden hatten, die aber niemand runtergeladen haben will und ebensowenig benutzt sie irgendjemand.
das tollste war ein smsstadt icon auf dem desktop der direk mit einer der viren dateien verknüft war.

beim scan wurde in der datei "sctasks.exe" die signatur des wurmes Darce.A.4 entdeckt. die datei konnte gelöscht werden. ist das ein neuer wurm? antivir entdeckte ihn erst heute nachdem ich das letzte update installierte. bei einem intensiv-scan gestern wurde noch nix gemeldet.

gerade fragte mich meine kerio firewall nach einer datei namens bla.exe
ich blockte sie natürlich, weil ich mir keinen reim drauf machen konnte, woher das ding kommt und was es will. außerdem hatte sie sich gerade heute erst einfach so erstellt und ich konnte keine verbindung zu einem seriösen programm herstellen. sie befindet sich bei mir direkt auf c:&#092; -also nicht mal in einem bestimmten verzeichnis oder so.
per google forschte ich nach und fand folgenden link
http://www.emuleforum.net/t68602.html

dort heißt es, bla.exe sei ein trojaner.

wie gehe ich nun am besten damit um? datei löschen? ok, aber ist damit das problem gelöst? muss ich noch irgendwas machen, um endgültig sicher, zu gehen, dass bla nicht doch noch schaden anrichten oder spionieren kann?

wie hab ich das ding eigentlich so plötzlich bekommen? mich hatte über edonkey2000 2mal einer angeschrieben und das programm lief auch ne ganze weile. kann es daran liegen?

kann eigentlich jeder trojaner gleichviel? mich graust, wenn ich daran denke, dass jemand mit so einer datei bei allem, was ich schreibe, mitlesen kann. ich wickle nunmal auch persönliches über den pc ab. mails und irgendwelchen schreibkram. bin mir langsam nicht mehr sicher, ob der pc dafür wirklich noch geeignet ist.

Könnte es sich um W32.HLLW.Gaobot.AE (http://securityresponse.symantec.com/avcenter/venc/data/w32.hllw.gaobot.ae.html) handeln?

Du kannst die Datei auf jeden Fall löschen - solltest aber auch nach anderen Schädlingen Ausschau halten (siehe Link).

Laut Symantec könnte es sich hier um eine "Backdoor" handeln, die die komplette Fremdübernahme des Systems ermöglicht... gut, dass du die Firewall hast. ;)

Und sonst so:

1. Aktualisiere die Signatur deines Virenscanners und checke das System
2. Überprüfe die Startup-Prozesse mit dem Tool "msconfig" und deaktiere dir verdächtig vorkommende Einträge testweise
3. Flicke Sicherheitslücken deines Windows per Windows Update

VORSICHT!

zur zeit werden anscheinend mails mit dem absender @rtl.de verschickt, die in den anlagen eine variante des virus sober enthalten.

ich erhielt sie 2mal von 2 absendern:

RTL-Admin@RTL.de

Auslosung@RTL.de

inhalt der mail:


Glueckwunsch: Bei unserer EMail Auslosung hatten Sie und weitere neun Kandidaten Glueck.
Sie sitzen demnaechst bei Guenther Jauch im Studio!
Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang.



+++ RTL interactive GmbH
+++ Geschaeftsfuehrung: Dr. Constantin Lange
+++ Am Coloneum 1
+++ 50829 Koeln
+++ Fon: +49(0) 221-780 0 oder
+++ Fon: +49 (0) 180 5 44 66 99


antvir läutete alarm.

also: auf keinen fall die anhänge öffnen!

NOCHMEHR VORSICHT!!!

gerade erhielt ich weitere dubiose mails mit scheinbar bekannten absendern, die den sober-virus im anhang enthalten.

hier die mails inkl. absender, betreff und anhang-bezeichnung:


From: Anzeige@BKA.de
To: ...
Subject: Sie besitzen Raubkopien


Sehr geehrte Dame, sehr geehrter Herr,


das Herunterladen von Filmen, Software und MP3s ist illegal und somit strafbar.
Wir moechten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter der IP 234.226.114.230 erfasst wurde. Der Inhalt Ihres Rechner wurde als Beweismittel sichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingleitet.


Die Strafanzeige und die Moeglichkeit zur Stellungnahme wird Ihnen in den naechsten Tagen schriftlich zugestellt.
Aktenzeichen NR.:#5987 (siehe Anhang)


Hochachtungsvoll
i.A. Juergen Stock

--- Bundeskriminalamt BKA
--- Referat LS 2
--- 65173 Wiesbaden
--- Tel.: +49 (0)611 - 55 - 12331 oder
--- Tel.: +49 (0)611 - 55 - 0


Anhang:
Akte5987.zip





From: Info@yahoo.de
To: ...
Subject: Mailzustellung wurde unterbrochen


This is an automatically generated Delivery Status Notification.


SMTP_Error []
I'm afraid I wasn't able to deliver your message.
This is a permanent error; I've given up. Sorry it didn't work out.


The full mail-text and header is attached!


Anhang:
Email.zip



From: Hostmaster@weishaupt.de
To: ...
Subject: SMTP_Mail_gescheitert


This is an automatically generated Delivery Status Notification.


SMTP_Error []
I'm afraid I wasn't able to deliver your message.
This is a permanent error; I've given up. Sorry it didn't work out.


The full mail-text and header is attached!


Anhang:
Email_text.zip




From: Postman@amazon.de
To: ...
Subject: SMTP Mail gescheitert


This is an automatically generated Delivery Status Notification.


SMTP_Error []
I'm afraid I wasn't able to deliver your message.
This is a permanent error; I've given up. Sorry it didn't work out.


The full mail-text and header is attached!


Anhang:
Email_text.zip




From: Webmaster@klaeschen-architekt.de
To: ...
Subject: Ihr Passwort


Ihre Nutzungsdaten wurden erfolgreich geaendert. Details entnehmen Sie bitte dem Anhang.



*** http://www.klaeschen-architekt.de
*** E-Mail: PassAdmin@klaeschen-architekt.de


Anhang:
klaeschen-architekt-TextInfo.zip

AM BESTEN GLEICH LÖSCHEN! ANHÄNGE AUF GAR KEINEN FALL ÖFFNEN!



.

das BKA wiesbaden, das in einer der viren-mails fälschlicherweise als absender angegeben wird, schaltete mittlerweile selbst eine meldung zu dem problem:


BKA warnt vor gefälschten E-Mails mit BKA-Absender - Variante des Sober-Wurms

E-Mail-Anhänge auf jeden Fall löschen!

Wie dem BKA heute (21.11.05) bekannt wurde, ist derzeit eine gefälschte E-Mail in Umlauf, die als angeblichen Absender das BKA vorgibt. Der Betreff dieser E-Mail lautet: "Sie besitzen Raubkopien".

Diese E-Mails stammen nicht vom BKA.

Das Bundeskriminalamt warnt dringend davor, den Dateianhang der E-Mails zu öffnen. Es handelt sich um einen Massenmailer-Wurm (wahrscheinliche Variante: W32.SoberX), der sich beim Öffnen des Dateianhangs automatisch an die im Adressbuch des Rechners gelisteten Adressen weiterversendet.

Der Inhalt der gefälschten E-Mails besagt, dass angeblich "der Inhalt Ihres Rechners" als "Beweismittel sichergestellt" wurde und gegen den Empfänger angeblich ein Ermittlungsverfahren eingeleitet wurde.

Das BKA rät, die E-Mails zu löschen und einen Virenscanner über den Rechner laufen zu lassen.

E-Mails dieser Art kursieren momentan vor allem in Deutschland, Österreich und der Schweiz.

quelle: www.bka.de (http://www.bka.de/)

das Herunterladen von Filmen, Software und MP3s ist illegal und somit strafbar. Wir moechten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter der IP 234.226.114.230 erfasst wurde. Der Inhalt Ihres Rechner wurde als Beweismittel sichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingleitet.

Der gesunde Menschenverstand sagt einem, daß das schon mal ein Gschichtl ist.

1. Das Herunterladen von Filmen, Software und MP3s ist nicht illegal. Seit wann dar ich keine Software runterladen ? Schon lam was von Freeware gehört ?

2. Wenn das "BKA" vorab etwas mitteilt, wären sie blöd, doch lieber gleich den Rechner beschlagnahmen, ohne vorher die Möglichkeit zu geben, ihn leerzuputzen.

3. "Der Inhalt Ihres Rechners wurde als Beweismittel sichergestellt...."
Soso, 200GB, über einen 512kbit Uplink, das dauert in etwa 2 Tage (oder hab ich mich da verrechnet, kommt mir etwas wenig vor). Außerdem setzt das voraus, daß irgendeine Backdoor am Rechner installiert wurde, was unter Computersabotage fällt. Und außerdem müssen die Kerlchen mal durch die Firewall kommen. Naja, wers glaubt.....

4. In Österreich hat das BKA kaum was zu melden ;)

5. Ich bezweifle, daß die Jungs anhand der IP ne mail-Adresse rausfinden können. Wie soll das gehen ? Sind die die Scheffs über das gesamte Internett ?



Normalerweise wandert sowas in den Spam. Falls ihr euch unsicher wegen irgendwelchen dubiosen mails seid, fragt hier einfach nach, hier werdet ihr geholfen, NUR NIE !!!!! DIE ATTACHMENTS ÖFFNEN !

hey brainfister, die absender dieser mails sind nicht Info@yahoo.de usw. Den echten Absender findest du im der Header Mail. ;)

hey brainfister, die absender dieser mails sind nicht Info@yahoo.de usw. Den echten Absender findest du im der Header Mail.

Und dir ist bewußt, daß der "echte" Absender im Header genauso beliebig gewählt werden kann ? Du kannst maximal die Mail zum Server, von dem sie abgesendet wurde, verfolgen. Außerdem, was nützt es dir, wenn du weißt, welcher Zombie Rechner zu Virenschleudern umfunktioniert wurde ?

@ R_B_D

aber diese absender sind jene, die man als empfänger der mails sieht bevor man sie öffnet. um also diese virenmails für betroffene erkennbar zu machen, war es schon wichtig, diese adressen zu benennen.

gestern erhielt ich übrigens neue virenmails.
selbe machart wie die letzten.

so sahen sie aus:


From: Postman@t-online.de
To: ...
Subject: SMTP Mail gescheitert


This is an automatically generated Delivery Status Notification.


SMTP_Error []
I'm afraid I wasn't able to deliver your message.
This is a permanent error; I've given up. Sorry it didn't work out.


The full mail-text and header is attached!


Anhang:
Von Norton AntiVirus gelöscht-12.txt



From: Anzeige@bka.bund.de
To: ...
Subject: Ermittlungsverfahren wurde eingeleitet


Sehr geehrte Dame, sehr geehrter Herr,


das Herunterladen von Filmen, Software und MP3s ist illegal und somit strafbar.
Wir moechten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter der IP 144.73.169.220 erfasst wurde. Der Inhalt Ihres Rechner wurde als Beweismittel sichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingleitet.


Die Strafanzeige und die Moeglichkeit zur Stellungnahme wird Ihnen in den naechsten Tagen schriftlich zugestellt.
Aktenzeichen NR.:#1579 (siehe Anhang)


Hochachtungsvoll
i.A. Juergen Stock




--- Bundeskriminalamt BKA
--- Referat LS 2
--- 65173 Wiesbaden
--- Tel.: +49 (0)611 - 55 - 12331 oder
--- Tel.: +49 (0)611 - 55 - 0


Anhang:
Von Norton AntiVirus gelöscht-11.txt



From: Postmaster@Ebay.com
To:...
Subject: Sehr geehrter Ebay-Kunde


Bei uns wurde ein neues Benutzerkonto mit dem Namen "Diebels" beantragt.
Um das Konto einzurichten, benoetigen wir eine Bestaetigung, dass die bei der Anmeldung angegebene e-Mail-Adresse stimmt.
Bitte senden Sie zur Bestaetigung den ausgefuellten Anhang an uns zurueck.


Wir richten Ihr Benutzerkonto gleich nach Einlangen der Bestaetigung ein und verstaendigen Sie dann per e-Mail, sobald Sie Ihr Konto benutzen koennen.



Vielen Dank,


Ihr Ebay-Team

Anhang:
Von Norton AntiVirus gelöscht-1.txt
in der bezeichnung von jedem der anhänge steht ja "Von Norton AntiVirus gelöscht". anscheinend ist das wirklich so. denn diesmal zeigte antivir keinen alarm an.
trotzdem gilt weiterhin: diesen müll löschen und auf keinen fall öffnen!

Auf diesen Text, von wegen "von Virenprogramm xxx geprüft", etc. sollte man sich auch nicht verlassen, schließlich kann man in die Mail reinschreiben, was man will. Gerade wenn sowas drinsteht, sollte man besonders wachsam sein. Deswegen wie bereits erwähnt: Ab in den (virtuellen) Rundordner !

Man wundert sich, dass auf diese Art der Bauernfängerei immer noch Leute hereinfallen. Die Machart hat sich doch seit Jahren nicht geändert und Sober ist nun wirklich nicht mehr das neueste vom neuen.

Und ich wundere mich, wieso der gmx-spamfilter zu blöd ist, mails mit sober-anhang auszusortieren...

eine email vom gleichen typ



Subject: Account Information

From: Info@yahoogroups.com

hre Nutzungsdaten wurden erfolgreich geaendert. Details entnehmen Sie bitte dem Anhang.


*** http://www.yahoogroups.com
*** E-Mail: PassAdmin@yahoogroups.com

Die Uni-Server hat folgende Viren vom Anhang entfernt

Client: MailMonitor for SMTP v1.2.2

The message body part has been replaced with this note.

Problem description:
Attachment validity check: passed.
Virus identity found: W32/Sober-Z
Virus identity found: W32/Sober-Z

zur BKA-Email auch mal was koriospositives


"Paderborn - Computerwurm "Sober Y" hilft beim Kampf gegen Kinderpornografie: Der als E-Mail-Anhang verschickte Wurm, der die Adressaten etwa mit dem falschen Absender "Bundeskriminalamt" erreiche, habe wegen seines Betreffs "Ermittlungsverfahren eingeleitet" einen 20-jährigen Paderborner erschreckt, teilte die Polizei am Montag mit.

Der Mann habe sich selbst angezeigt, pornografische Bilder von Kindern zu besitzen. Er habe sich ertappt gefühlt. Ermittlungen der Polizei ergaben, dass er einige solcher Bilder besaß, teils auch verschickt hatte.

Ein Strafverfahren wurde eingeleitet, hieß es. Zwar müsse die Warnung vor dem Wurm aufrechterhalten werden, betonte die Polizei. Aber ihr Fazit lautete dennoch: "Nicht immer sind Mail-Würmer so "schädlich" wie allgemein angenommen."
(dpa)19. Dezember 2005"

Hier mal ne leichte Entwarnung es hilft halt doch wenn die Medien warnen


Computerwurm "Nyxem.e" verursachte kaum Schäden

Von Martin Fiutak
03. Februar 2006, 15:57 Uhr

Zahl der infizierten Computer wurde auf 300.000 Stück korrigiert

Der aggressive Computerwurm «Nyxem.e» hat am Freitag anders als von Experten erwartet kaum Schäden verursacht. «Eine Katastrophe ist nicht eingetreten», sagte der Karlsruher Virenexperte Christoph Fischer. Der Schädling ist so programmiert, dass er an jedem dritten Tag eines Monats aktiv wird. Doch der Ausbruch sei deutlich ruhiger verlaufen als zunächst befürchtet, sagte Fischer. Die Zahl der infizierten Computer weltweit sei inzwischen auf 300.000 Stück nach unten korrigiert worden.

«Nyxem.e» ist seit genau zwei Wochen im weltweiten Datennetz unterwegs. Seither verschickt sich der auch als «Kamasutra» oder «Blackmal.e» bezeichnete Schädling selbstständig über das Internet. Auf infizierten Windows-Rechnern aktiviert er zum programmierten Datum seine Routine und kann, anders als viele andere Viren, erheblichen Schaden anrichten. So löscht er unter anderem Dateien in Microsoft-Office-Formaten wie Word, Excel oder Powerpoint. Auch gängige Virenschutz-Software versucht er auszuschalten.

Die Nutzer hätten in diesem Fall die frühzeitigen Warnungen sehr ernst genommen und Vorsichtsmaßnahmen getroffen, sagte Fischer. Dass «Nyxem» im Vergleich mit anderen massenhaft verbreiteten Schädlingen wie etwa «Sober» so schnell die Luft ausgeht, liege aber auch an dem «Social Engineering»: Während «Sober» zum Beispiel mit trickreichen E-Mails auch in deutscher Sprache die Nutzer zum Anklicken verführte, würden die englischsprachigen Betreffzeilen von «Nyxem» schnell erkannt werden.

Trotz teilweiser Entwarnung raten Sicherheitsexperten weiter zur Vorsicht. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bieten für jene, deren Computer sich bereits infiziert haben, auf seinen Internetseiten eine Entfernungs-Software zum Herunterladen an. Zudem sollte jeder Internet-Nutzer regelmäßig seine Antiviren- Software aktualisieren und keine Anhänge von unerwarteten oder unbekannten E-Mails anklicken.

Quelle Zdnet (http://www.zdnet.de/news/security/0,39023046,39140723,00.htm)

Neue Mail ohne Anhang unterwegs


Gefälschte Telekom-Seite verbreitet Trojaner
Meldung vom 22.02.2006 20:52

Seit kurzem kursiert eine gefälschte Telekom-Mail im Internet, die angeblich Informationen über die Telefonrechnung für den Monat Februar enthält. Die darin genannte Summe variiert. Anders als die meisten bisherigen gefälschten Telekom-Mails birgt die neue Variante keinen Anhang, in dem ein Schädling stecken könnte. Vielmehr enthält sie nur einen Link auf eine angebliche Webseite der Telekom, wo der Kunde nach dem Login nähere Einzelheiten zur aktuellen Rechnung erfahren soll.
http://www.heise.de/bilder/69975/0/0
Besonders perfide: Aus Sicherheitsgründen soll man sich auf der Seite einloggen

Was auf den ersten Blick nur wie eine gut gemachte Phishing-Seite aussieht, entpuppt sich bei näherer Betrachtung als Versuch, den PC des Besuchers der Seite mit einem Schädling zu infizieren. Dazu analysiert die Webseite die Browserversion, Betriebssystemversion und einige andere Versionsstände, um anschließend einen von fünf Exploits zu starten. Nach ersten Untersuchungen gehört dazu der Exploit für die WMF-Lücke, die Java Virtual Machine und diverse anderen Sicherheitslücken. Bei allen scheint es sich aber um ältere Lücken zu handeln, für die längst Updates verfügbar sind. Zudem funktionieren die Exploits nur beim Besuch der Seite mit dem Internet Explorer. Empfänger der Mail sollten aber auf jeden Fall davon Abstand nehmen, die Seite aus Neugier zu besuchen. Unter Umständen können weitere Exploits für bislang unbekannte und ungepatchte Lücken hinzugefügt werden.

Quelle :Heise.de (http://www.heise.de/security/news/meldung/69975)

Und wieder is ein neuer Trojaner unterwegs. Der Betreff duerfte zwar fuer uns nicht so interessant sein aber wer weiss wo man so raufklickt??


Trojaner lockt mit Beweis für Ermordung Milosevics

Von Jason Curtis
ZDNet
16. März 2006, 18:30 Uhr

Sensationslust soll die Verbreitung von Malware antreiben

Blackspider Technologies warnt vor einem neuen E-Mail-Trojaner, der vorgibt, Beweise zur Ermordung des kürzlich verstorbenen ehemaligen Präsidenten Jugoslawiens zu enthalten. Eigentlich dient die E-Mail aber der Verbreitung eines Schädlings, der auf den Systemen seiner Opfer unbemerkt bösartigen Code herunterlädt und Steuerungsbefehle von Cyber-Kriminellen entgegennimmt.

Der Trojaner lädt sich automatisch auf den PC, sobald der Empfänger auf die angehängte Datei mit dem angeblichen Beweisfoto der Ermordung von Slobodan Milosevic klickt.

In den ersten acht Stunden nach seiner Entdeckung will Blackspider annähernd 17.000 E-Mails abgefangen haben, die den Download-Trojaner enthalten.

Die Betreffzeile der E-Mail lautet:

Slobodan Milosevic was killed.


The real evidence in attached photo.
--------------------------
Scanned by Kaspercky Antivirus
Status: clean

Der verseuchte Anhang ist eine ausführbare, UPX-komprimierte Datei, deren Größe 16,5 KByte beträgt.

Quelle: Zdnet (http://www.zdnet.de/news/security/0,39023046,39142009,00.htm)

Websense warnt vor gefälschten Windows-Patches

Hacker wollen Anwender zur Installation eines Trojaners bewegen

Websense warnt in einem Advisory vor einer E-Mail, die Anwendern einen Patch für eine Windows-Lücke anbietet. In Wirklichkeit handle es sich dabei um einen Trojaner.
"Die Leute fallen immer noch darauf rein. Es ist für Hacker sehr einfach, aus der Angst auf dem Markt Vorteile zu ziehen", sagte Websense-Manager Joel Camissar.
Die E-Mail der Hacker gibt vor, einen Patch für die Windows-Schwachstelle MS06-039 bereitzuhalten. Anwender sollten auf keinen Fall auf die Nachricht reagieren und Patches immer nur direkt von der Microsoft-Website oder über Windows Update herunterladen.
Quelle: zdnet.de

Was das Herunterladen von Patches betrifft koennen alternativ natuerlich auch serioese Seiten wie "Winbord.org" und "Winfuture" genutzt werden.

und auch der altbewaerte TelekomTrick ist wieder aktiv--->>weiterlesen Und wieder nen neuer Trojaner Trick (http://www.spacepub.net/archives/376-und-wieder-nen-neuer-trojaner-trick/)

Das ist derb:

Zahl oder stirb

Eine neue Spamwelle versetzt US-Bürger in Angst und Schrecken. In den E-Mails wird den Empfängern angedroht, man werde sie umbringen, wenn sie nicht hohe Summen bezahlten. Angeblicher Absender: ein Berufskiller.

http://www.spiegel.de/netzwelt/web/0,1518,460251,00.html

Das sind die Mails mit den angeblichen GEZ-Rechnungen noch richtig harmlos dagegen. Sachen gibt's...

... also bei aller "Liebe":

Ich bin für ne hohe Haftstrafe, wenn sie den Übeltäter erwischen, denn sowas ist kein Spass!

...
Ein Betroffener, der auf einer Mail antwortete, bekam laut dem FBI eine Antwort, die unter anderem die Adresse seines Arbeitsplatzes und den Namen seiner Tochter enthielt.
...

Lauter schicke Rechnungen

Vielleicht sollte man einen Design-Preis für die professionellsten Spam- und Virenmails ausloben: Was da in letzter Zeit ins Postfach flutet, sieht wirklich überzeugend aus. Zurzeit sind das vor allem angebliche Rechnungen des Internetproviders 1&1. Wer die öffnet, zahlt womöglich dafür.


http://www.spiegel.de/netzwelt/tech/0,1518,461827,00.html


PS: Da ich ja mit dem "Verein" zu tun habe - hier nochmal ne persönliche Note:

NEIN, 1&1 versendet NUR pdf-Rechnungen mit detailierten Infos an die eingetragene Kontaktemailadresse. Alle RG's sind jederzeit im ControlCenter selbst einsehbar oder neu zustellbar.

Emailanhänge mit .exe Endung sind immer verdächtig und gefährlich!

Da war Spiegel aber langsam (genau wie ich) die Dinger sind seid mindestens 2wochen unterwegs. Noch vor den netten Dingern der GEZ.

Also nie XXX.pdf.exe oeffnen, denn Exen = ausfuehendes Programm oeffnet man nicht es sein den man weiss was und von wem es ist.

... nun, wie es scheint gab es eine zweite "Welle".

Aber richtig: Wer ne exe-Datei von zweifelhafter Herkunft öffnet (zudem noch ein Textdokument niemals eine selbstausführende .exe benötigt), der ist eigentlich selber schuld ... und bräuchte wohl nochmal einen Volkhochschulkurs: "PC und Internet - was ist das und wie geht das!"

;)
:D

Da muss ich Dir vollkommen recht geben, Reiner.

so es ist mal wieder soweit.

auch das BKA verschickt wieder Nette Mails




von :<325986-abteilung@bka.de>

Sehr geehrte Damen und Herren,

das Herunterladen von Filmen, Software und MP3s ist illegal und wird mit bis zu 5 Jahren Freiheitsentzug bestraft.
Wir möchten Sie darauf hinweisen, dass Ihr Rechner unter der IP XXX.XXX.XXX.XXX erfasst wurde.
Ihre Daten wurden uns von Ihrem Provider zu Verfügung gestellt und eine Strafanzeige wurde erlassen.
In dem angeführten Anhang finden Sie die Strafanzeige mit dem Aktenzeichen Nr.:# 130067
Drucken Sie diese bitte aus und faxen Sie diese mit einer Stellungname an uns zu.
Eine Kopie der Strafanzeige wird Ihnen in den nächsten Tagen schriftlich zugestellt.


Hochachtungsvoll
i.A. Jürgen Stock



Bundeskriminalamt BKA
Referat LS 2
65173 Wiesbaden
Tel.: +49 (0)611 - 55 - 12331
Fax.: +49 (0)611 - 55 - 0





Das ganze zweimal von unterschiedlichen Abteilungen mit unterschiedlichen Akenzeichen. Mit genau dem gleichen Text und von der selben Person.

Im Anhang jeweils die selbe Datei.

Akte84738.zip mit dem Inhalt Akte.pdf.exe
Wer also Lust hat kann die Datei oeffnen und sich von dem kleinen Trojaner ueberaschen lassen.

Ich finde es ueberings nett vom Bka mich vorzuwarnen fuer den Fall das ich mich der Tat schuldig gemacht habe und ich die Beweise vorausgesetzt es gibt welche vernichten kann.:D :D :D

Nachtrag:

Diese neue Sendewelle ist eine Auffrischung vom Jahr 2005.

Hier naehere Infos pcshow.de/ (http://www.pcshow.de/news/unbekannter-virus-verschickt-ermittlungsverfahren-gegen-raubkopierer-398-0-0.html)