Vorsicht vor falschen Telekom-Emails "Online Rechnung"

hier noch mal die warnung von http://www.heise.de

http://www.heise.de/security/news/meldung/53231

...zu Spät, hab das Mistvieh schon!! *TR/HideRun.A.2*
Und wie werde ich das "gute" Stück wieder los? Soll ja bei Trojanern nicht so einfach sein, - leider.
Wer kann einer "armen" Anwenderin in möglichst einfachen Worten helfen?

Gruß - Helene  

Virenscanner auf neuesten Stand bringen. Im abgesicherten Modus scannen .

 
habe den HideRun.A.4
Antivir erkennt den leider, löscht den, und stürzt aber beim Scan auch im Abgesicherten Modus ab.

Hilfreiche Seite:
http://www.tu-berlin.de/www/software/virus/

Das machte der Virus bei mir:
Er vermehrt sich über zahlreiche Textprogramme (eins ca60MB), ist in ausführbaren Progammen (s.Taskleiste, ob dort unbekannte *.exe Dateien sind), deaktiviert Anitvir und integriert sich in Programmen, wie ACD.src.exe. Nicht alles, was auf dem Rechner src heißt, ist nun ein Virus (z.B. gehört src.jar zu Java), aber bei einer Abfrage mit *scr* kommen zahlreiche Programme und Dateien die er für sich behauptet. Desweiteren entstehen etliche andere Dateien unter der Partition, wo Windows- Verzeichnis ist. ... -Fortsetzung s.u. ...

So würde ich normalerseise vorgehen:
Normalerweise in den abgesicherten ModusStarten, Virendefinition von woanders her holen und über Diskette oder CD updaten (nicht über Internet, da Virus ggf. Antivir schon veränder hat). GGf danach einen OnlineScan bei Symmantec durchführen (AntivirGuard sollte schon aktiviert sein dabei).
http://www.tu-berlin.de/www/software/antivirus.shtml
(Empfehle Symmantec online scan!!!)

Bei mir klappte das nicht... da PC - Absturz bereits beim Scan von antivir.

Also Lösungsweg2:
format c (Festplatte kompett formatieren), aber.... auch eine LiveEval Linux - Start-CD ging nicht..

Warum?!?
Weil sich der Virus im Bios gesetzt hat.

Lösungsweg: Batterie rausnehmen vom Mainboard, andere Festplatte anschließen.

Problem: Auch das ging nicht, nachdem ich die Batterie nach ca. 1 Stunde wieder eingebaut hatte,da sich der Virus ins Bios geupdatet hatte.

Doch was dann tun, wenn Bios gelötet und der Hersteller ein extrem schlechten Support hat (IPC Laptop):

Ein Wort zum Support von IPC: MeinungSelberBildern!
Zu IPC- Laptop (Emfpehle ich wirklichk auf gar keinen Fall)  :
Auf Anfrage erhält man nur... bitte Notebook zuschicken (399EUR Pauschale, siehe Link oben)  No more IPC- Laptop: nicht nur preiswert, sondern BILLIG (lauter Lüfter etc.)
http://www.ipc-computer.de/index.php?cPath=2_30
http://www.chip.de/news/c_news_8827462.html
http://www.my-two-cents.de/tagebuch...1/2002-01d.html
http://www.heise.de/newsticker/meldung/24240 (C't sagt es treffend (User meinte sogar "Küchengerät"  )

Viel Erfolg bei Dir.

Hi,
ich habe den Tip bekommen mir das Programm "Clear Prog" runterzuladen und damit alle Ordner TEMP, Temporary Internet Files, Cookies und den Verlauf zu leeren. Hat auf Anhieb geklappt, der Trojaner ist weg!

Helene

habe eben gerade einen neuen bekommen!!!

Email vom 22.2.06.

Ihre Telekomrechung im Februar von 620,- Euro.
Ab sofort ohne Anhang.

bla, bla, bla...

mehr Infos  unter:  link auf Website!!!!

Achtung: keine Ahnung was, wer oder von wem das war...

Aber es war nicht die Telekom!!!

Gruß

format c (Festplatte kompett formatieren), aber.... auch eine LiveEval Linux - Start-CD ging nicht..

Warum?!?
Weil sich der Virus im Bios gesetzt hat.

Lösungsweg: Batterie rausnehmen vom Mainboard, andere Festplatte anschließen.

Problem: Auch das ging nicht, nachdem ich die Batterie nach ca. 1 Stunde wieder eingebaut hatte,da sich der Virus ins Bios geupdatet hatte.

Also, was dieser Mike da schreibt, ist recht seltsam. Jedenfalls hat es mit der Telekom-Email wenig zu tun und die zitierten Links sind auch wenig hilfreich.

1) Es handelt sich um einen TROJANER bzw. WURM, nicht um einen Virus. Daß das Programm sich in exe-Dateien einbaut, behauptet nur Mike.

2) Nach einheitlicher Meinung der Fachleute ist es nicht möglich, daß so ein Wurm sich ins Bios einträgt.

3) Das mit "src" hat Mike nicht verstanden.
Programme mit Endung scr sind ebenso ausführbar wie exe (normalerweise Bildschirmschoner). Mit src ("seach") hat das nichts zu tun.

4) Die Bekämpfung ist mit den aktuellen Scan-Programmen kein Problem.

Fazit: Wer fachlich schwimmt, soll besser keine Erklärungen geben.

Hier noch SAUBERE Info:
Der Trojaner lädt nach dem Start die Backdoor Nibu.j aus dem Web nach. Nibu.j seinerseits installiert einen Keylogger, der seine gesammelten Informationen periodisch verschickt. Nibu.j erzeugt im Verzeichnis "C:\WINDOWS" die Dateien „dvpd.dll“, „hetdx.dat“ und „prntsvra.dll“. Im Unterverzeichnis "C:\WINDOWS/system32" kommen die Dateien „dllsys.dll“ und „winldra.dll“ hinzu. Einträge in die Registry gehören ebenfalls zur Routine des Trojaners, um ein Ausführen bei jedem Systemstart zu garantieren.

Durch Modifikation der hosts-Datei versucht der Schädling zu verhindern, dass Antivirenprogramme ein Update von den Servern der gängigen Antivirenhersteller nachladen können. Auch die Webseiten der Antivirenhersteller blockiert der Schädling über die hosts-Datei. Die meisten Anbieter haben die Signaturen ihrer Antivirenprogramme auf DOWNLOADER.RY eingestellt. Um über Bedrohungen auf dem Laufenden zu bleiben, empfiehlt sich ein Blick in die Virentickerlisten von tecCHANNEL. (uba)