Hier kann man sich einen Patch für die Versionen runterladencheckt mal :
http://www.heise.de/newsticker/data/lab-26.11.01-000/
(thx to thommysoft)
chris
Hier kann man sich einen Patch für die Versionen runterladen
Der Patch ist in der Version 6.0 des IE schon integriert, weshalb es für diese Version keinen Patch gibt. Der Patch sollte dieses Problem dann endgültig lösen.
Quelle: PC-Welt Online
Related Link:
BadTrans B-Infos bei der PC-Welt
Quelle und weitere Infos:
chip.de
hoff mal es geht jetzt alles wieder... hatte innerhalb von 2 wochen schon mal nen trojaner und dann noch son andern assi virus seitdem kotzt mich das alles bisschen an!
Aber vorsichtshalber:
Aktuellen Virenscanner plus aktuellstes Update holen und den Rechner scannen. Und präventiv den o.g. Patch installieren.
HIER 'n Link von Pandasoftware mit der antiViren-Soft für den BadTrans-Worm. (c) und alle Bedingungen und Bla natürlich bei Pandasoftware...chris
Das "Sicherheitslücke" ist ja derart krass! Hab natürlich nix ausgeführt, aber bei dem reicht es bei Outlook schon in der Voransicht auf die mail zu gehen, dann wird der wurm aktiviert und ausgeführt.
Versuche ihn gerade zu removen, dank den oben genannten tools und links... thx!
1. Präventivmassnahmen
1. Nutzer des Internet Explorer 5.01/5.5 sollten umbedingt den Sicherheitspatch installieren. Für die Version 6.0 ist der Patch nicht notwendig.
2. In Outlook die Funktionen "AutoVorschau" und "Vorschaufenster" unter "Ansicht" deaktivieren. Ähnliches müsste auch in Outlook Express vorhanden sein.
3. Keine Mails von unbekannten oder zweifelhaften Absendern öffenen.
4. Auf jeden Fall eine Antiviren-Software bereithalten. Neben Freeware gibt es auch sehr gute Programme u.a. von Symantec und McAfee. Ein Virenscanner mit regelmässigen Updates ist heute schon Pflicht.
5. Die Antiviren-Software regelmässig (mind. alle 2-3 Tage) aktualiseren.
2. Maßnahmen für Betroffene
1. Virenscanner besorgen (siehe Links)
2. Virus entfernen (Virenscanner + Tipps bei Heise)
3. Präventivmassnahmen ergreifen (siehe oben)
Related Links / Hersteller von Antiviren-Software:
Symantec
McAfee
F-Prot (Freeware)
Panda-Software (Freeware)
AntiVir Personal Edition (Freeware)
Related Links / Artikel zum Thema:
Chip Online
PC-Welt online
Heise
[ 28-11-2001: Beitrag editiert von: Thommysoft ]
werde ich mal heute abend absurfen!
*gradenochverkneifnenOutlookflamewarzustarten*
Geh' mal auf die Seite von Heise, da ist das recht gut beschrieben, wie man das feststellen kann...
Der Dienst eignet sich auch wunderbar dazu, seinen Mail-Accout schnell mal unterwegs zu checken, ohne dass man die Mails gleichrunterladen muss...
Related Link:
T-Online WebMail
Is ne gute Sache ...
Entscheidend ist, dass man bei der Anmeldung bei T-Online WebMail über T-Online mit den Zugangsdaten, die auch zu dem ensprechenden E-Mail-Alias gehören, eingewählt sein muss, also egal ob nun zuhause, mobil oder sonstwo...
Wenn Du die o.g. Massnahmen triffst, dürftest Du mit dem Virus keine Probleme mehr haben, da brauchst Du dann auch nicht warten. Mit dem Ding ist auch nicht zu spaßen, das es auch in der Lage ist, Passwörter zu klauen und anderen Zugriff auf Deine Daten zu ermöglich. Also bloss runter damit!!
@da_face
Genau, habe ich vergessen...
Als das Teil gestern bei mir eintrudelte, habe ich an alles andere gedacht, nur nicht an einen Virus ! Das war nämlich hundsgemein !
Ich bekam ein Reply auf eine Mail, wo ich schon die ganze Zeit auf Antwort gewartet hatte ! Und als Dateianhang war ein *.txt File und ein *.mp3 File ! Da es sich sowiso um was "musikalisches" vom Inhalt her in der E-Mail handelte, nahm ich an, das ist ok so !
Ich bekomme ja laufend irgendwelche E-Mails mit mp3 Anhang, wo jemand wissen will was das für n' Track is oder so....
Tja, voll reingetappt ! Für alle die eine solche infizierte Mail von mir bekommen haben tut es mit leid, ich werde in Zukunft wesentlich vorsichtiger sein ! Allein schon wegen dem ganzen Aufwand, den ich jetzt wieder betreiben muss, um diese "Filzläuse" von Virendateien wieder los zu werden !
Vorgesorgt habe ich jetzt schon, in dem ich mir NORTON INTERNET SECURITY 2002 besorgt habe, und es nachher installieren werde ! Ich hoffe das Proggi findet die infizierten Dateien, das mir der mühsame "manuelle" Weg erspart bleibt ! Nochmals Sorry an alle TF User, das war beim besten Willen keine Absicht !!!
[ 28-11-2001: Beitrag editiert von: CHoCi ]
Die Prozedur wird zwar recht lange dauern - bei mir hat der nach einer Neuinstallation teilweise 15 MB an Updates runtergeladen - aber dafür wird man dann nachher (hoffentlich) entlohnt.
ich bin gottlob verschon geblieben, jedenfalls hab ich keine einzige dieser dateien gefunden
quote:
Ursprünglich geschrieben von Thommysoft:
2. In Outlook die Funktionen "AutoVorschau" und "Vorschaufenster" unter "Ansicht" deaktivieren. Ähnliches müsste auch in Outlook Express vorhanden sein.
Outlook Express:
Ansicht-->Layout-->Vorschau deaktivieren
hab auch ne mail dabei gehabt und gleich eliminiert, dank rechtzeitiger viruswarnung
ich hab auch 'ne Mail gekriegt! Betreff: "Re: Book-site" (und das ist mir nicht komisch, denn ich hab mit dem Kerl über 'ne Book-site geredet), und als Anhanh ein Sorry_about_yesterday.mp3.pif und eine .txt-Datei! Da ich von dem Virus wußte, hab ich die Datei auch nicht geöffnet.
Ist mein PC jetzt infiziert oder nicht?!
Datum: 28.11.01, Uhrzeit: 17:39:26,
Virenprüfung gestartet.
Datum: 28.11.01, Uhrzeit: 17:53:44,
Datei
C:\WINDOWS\SYSTEM\kernel32.exe
ist mit dem Virus W32.Badtrans.B@mm infiziert.
Die Datei konnte nicht repariert werden.
Datum: 28.11.01, Uhrzeit: 17:55:02,
Datei
C:\WINDOWS\SYSTEM\kernel32.exe
war mit dem Virus W32.Badtrans.B@mm infiziert.
Die Datei wurde gelöscht.
Datum: 28.11.01, Uhrzeit: 17:57:46,
Der E-Mail-Anhang Unknown19b8.data ist mit dem Virus W32.Badtrans.B@mm infiziert.
Diese Datei wurde isoliert.
....Uff !!!Grade eben, vor 1 min. wollte einer auf mein Rechner zugreifen
Datum: 28.11.01 Uhrzeit: 18:19:53
Regel "Standard Backdoor/SubSeven blockieren" Illegaler Zugriff !
Das wird ja immer lustiger hier....
Ach ja, ich hab gemerkt, daß, wenn ich die Mail anklicke (auswähle besser gesagt), immer ein Fenster kommt mit "Was wollen Sie mit dieser Datei machen: ÖFFNEN oder SPEICHERN". Hab natürlich auf ABBRECHEN geklickt
Kann es sein, daß meine Konfiguration anders ist, und DESHALB dieses Fenster kommt, und ich Durch "ABBRECHEN" geschützt bin? Oder kommt das Fenster bei jedem?
quote:
Ursprünglich geschrieben von CHoCi:
Grade eben, vor 1 min. wollte einer auf mein Rechner zugreifen
Datum: 28.11.01 Uhrzeit: 18:19:53
Regel "Standard Backdoor/SubSeven blockieren" Illegaler Zugriff !Das wird ja immer lustiger hier....
Das taucht bei mir auch in jeder Internet-Session mind. 1 mal auf - also keine Panik!!
[ 28-11-2001: Beitrag editiert von: Thommysoft ]
--------
Hmm, nach den ganzen Posts hier frage ich mich langsam, ob es tatsächlich so wenige Leute gibt, die tatsächlich ne Firewall bzw. einen Virenscanner auf dem Rechner haben...
Scheinbar hat den jeder! Vorallen sind das immer Replys auf Mails die ich versendet habe... nicht schlecht gemacht der Virus
Falls Du's noch nicht getan haben solltest, schau Dir oben die Links an und lade Dir den Patch für die Sicherheitslücke runter, dann dürfte sich das Problem bis zum nächsten Virus erledigt haben...
quote:
Ursprünglich geschrieben von Thommysoft:
Hmm, nach den ganzen Posts hier frage ich mich langsam, ob es tatsächlich so wenige Leute gibt, die tatsächlich ne Firewall bzw. einen Virenscanner auf dem Rechner haben...
also nen virenscanner hab ich auf´m rechner.hab auch sofort heute nen update gemacht und meine platten scannen lassen...alles okay
is ja nicht das erste mal,das viren unterwegs sind... ...
*hatschi* nur bei mir hats nichts gebracht...bin voll erkältet *g*
achso, es bestände die ganz geringe möglichkeit, daß ich beim download von dem patch aus versehen den falschen genommen hab...kann ich mir aber eigentlich nicht vorstellen.
ach, und ich hab mal ne frage, wenn ich ein antivirusprogramm mit in dem softwarepaket zu meinem rechner drin hatte, müßte ich doch auch updaten können, oder nicht?
[ 28-11-2001: Beitrag editiert von: suki ]
Edit/Zum Virenscanner:
Updaten müsste eigentlich möglich sein, ausser das ist eine eingeschränkte Version.
[ 28-11-2001: Beitrag editiert von: Thommysoft ]
Aber eigentlich müsste es irgendwo eine Funktion "LiveUpdate" geben, bei den neueren Versionen (ich habe Version 2000) braucht man dafür kein Passwort und muss auch nicht registriert sein.
Ich habe hier nch einen Schlüssel in meiner Windows Registry gefunden der mir n' bisken komisch vorkommt :
Und Zwar unter
HKEY_CURRENT_USER/Software/Microsoft/CurrentVersion/Explorer/Doc Find Spec MRU
Dort treffe ich auf folgende Eintäge :
Name Wert
a ""
b "activity.txt" (1
c "Cologne Summer" (2
d "INETD.EXE" (3
e "KERN32.EXE" (4
f "HKSDLL.DLL" (5
g "KDLL.DLL" (6
h "win.ini"
i "Kernel32.exe" (7
j "Kernel.exe" (8
MRUList "bagfjiedhc" (9
zu (1
Das ist ne Protokoll Datei, die vor ein paar Stunden von Norten AntiVirus
angelegt ht !
zu (2
Das ist ein Name von einem Mp3 File ! Was zum Kukuk steht denn das da drin ?!?!?
zu (3
...öhm, weiss nicht, was is das ?
zu (4
Is klar !
zu (5
Das ist doch eine dieser Filzlausdateien vom Virus, oder ?
zu (6
Na das ist auf jedenfall eine !!!
zu (7
Die auch !!!
zu (8
Die auch ?????
zu (9
...was ist das ?????
Frage :
Kann ich den gesamten Schlüssel Löschen, ohne das mein Rechner zusammenbricht ???
Denn Registry Einträge manuell löschen ist ein heißes Eisen ! 
ist ja auch so schwer von zwei buttons auf den richtigen zu klichken, naja, jetzt ists eh zu spät 
Zudem sollte der SubSeven eigentlich von jedem Anti-Viren-Programm erkannt werden, so behaupten zumindest die Hersteller und mein Norton hat das Ding bei mir trotz der Fehlermeldungen noch nie gefunden.
Diese Meldung bei Norton Internet Security erscheint bei übrigens auch auf einem komplett neu installierten System (alles formatiert) während der ersten Internet-Session. Weshalb ich bei dieser Meldung noch weniger in Panik gerate...
Also, der Schlüssel kommt mir recht merkwürdig vor, denn eine "kernel.exe" bzw. "kernel32.exe" gehört nicht zu Windows - es gibt nur eine "kernel32.dll", die zu Windows gehört. Deshalb denke ich mal, dass dieser Eintrag von dem Virus stammt. Desweiteren habe ich in meiner Registry keinen solchen Eintrag (ich bin noch virenfrei), weshalb mir das doppelt spanisch vorkommt.
Deshalb halte ich ein Löschen für unbedenklich. Um auf Nummer Sicher zu gehen, würde ich die Registry einfach vorsichtshalb exportieren, falls tatsächlich Probleme auftreten sollten. Das kannst du im Registrier-Editor unter "Registrierung/Registrierungsdatei exportieren" machen.
Notfalls kannst Du die Reg-Datei dann einfach wieder importieren...
Edit:
Noch mal die Liste angeschaut... Da steht wirklich nur Mist drin. Genau die Dateien, die vom Virus "bearbeitet" werden, sind da aufgeführt. Also Löschen wäre schon angebracht - evtl. mit Backup des Registry...
[ 28-11-2001: Beitrag editiert von: Thommysoft ]
Allerdings kam ich beim Start in Win98 ganz kurz ein MS-DOS Fesnter hochgeschnellt, wo der Textlaut ungefähr so war :
VERZEICHNIS ODER PFAD NICHT GEFUNDEN !
ANWENDUNG WIRD BEENDET
Was hat das nu wieder zu bedeuten ??
Kann das sein, das es Reste von dem Virus sind, die jetzt nicht mehr funzen ??
Also ein is Fakt : Der Virus ist definitiv nicht mehr bei mir aktiv, und sämtliche Eintäge und Pfade sind jetzt gelöscht !!!
Einmal unter Mitwirkung von Norton AntiVirus 2002, und dann nochmal mit dem Pandasoftware Tool, was auch nichts mehr gefunden hatt !!!!
Hoffentlich is jetzt endlich Ruhe !!!
quote:
Ursprünglich geschrieben von CHoCi:
VERZEICHNIS ODER PFAD NICHT GEFUNDEN !
ANWENDUNG WIRD BEENDETWas hat das nu wieder zu bedeuten ??
Kann das sein, das es Reste von dem Virus sind, die jetzt nicht mehr funzen ??
Genau danach sieht das aus. Der Antiviren-Programm hat ja eine Datei gelöscht (kernel32.exe) und genau die will Windows beim Starten ausführen.
Öffne mal die Anwendung "Systeminformationen" im Zubehör-Ordner/Systemprogramme und starte aus dem Menü "Extras" das Systemkonfigurationsprogramm. Dann suche dort unter "Autostart" bzw. unter "win.ini" (dort unter dem Punkt [Windows] -> "run=" bzw "load=") nach Einträgen, die auf die Datei "Kernel32.exe" verweisen und lösche diese. Ansonsten kann es sein, dass diese Fehlermeldung bei jedem Systemstart kommt.
Allerdings habe ich noch eine "Leiche" endeckt, und nochmal so einen seltsamen Registry Eintrag wie vorhin schon mal erwähnt ! Allerdings standen da die anderen drin !
Folgende Datein und Eintragungen in der Registry sowie in der Win.ini existieren bei mir nicht mehr :
KERN32.EXE
Kernel32.exe
KDLL.DLL
CP_25389.nls
So, damit denke ich is mit Virus jetzt endlich Feierabend !
Weiter geht's.... 
ok, viren programmieren ist scheiße, aber hut ab, der hat an fast alles gedacht... 
THX!
[ 05-12-2001: Beitrag editiert von: cari ]
quote:
Ursprünglich geschrieben von Katleen:
Outlook Express:
Ansicht-->Layout-->Vorschau deaktivieren
ging noch mal gut...aber da kann man mal sehen, das man noch so gut aufpassen kann und trotzdem reinfällt...