ACHTUNG VIRUS als JPG.scr Anleitung Win32 Bakerfox

[gm-style]

Guten Tag,
ich hatte gestern einen Einsatz, indem ein Virus ermittelt wurde.
Mein Schwager hat sich eine DATEI mit PICT0902080.....JPG.scr angenommen, diese wurden per icq oder msn versendet.
Nun dachte er sich nichts schlimmes dabei. Klicken brachte kein Glück. Nach Stunden wurde der PC langsamer dann kam eine Software " AV Suite" diese dann meinte alles wäre alt an Signaturen bitte aktualisiere mich.

So er rief mich an.

Der Virus ist ein Bakerfox / Win32.migel.E
kommt ursprünglich von moley-photos.com

Natürlich wusste ich nicht wie ich den entfernen sollte. Denn ist dieser Virus auf dem PC,
sperren sich die Browser regelrecht bei eingabe bestimmter Namen.

Somit blieb mir nur eine geringe Auswahl. Internet kappen ist eine Idee nachdem folgende Software geladen wurde.
Spybot & Destroy , Update macht das Programm noch selber.
Combofix
Smitfraudfix

---
Als erste muss man Spybot & Destroy installieren ohne TeaTimer und dem Anderen Wächter(Malwarebytes schafft den nicht ausführlich getestet.)
Erstmal Updaten und dann immunisieren. Danach Überprüfen jetzt werden über 1Mio. Signaturen kontrolliert, dies dauert je nach Leistung bis zu 2h.
Das gute ist aber, es macht Sinn zu warten.

Sollte er fertig sein, und einen neustart wollen führt diesen Aus er führt dann nochmal aus und löscht dann vorübergehend den Rest.

Dann führt ihr Combofix aus, Anleitung befolgen und Anti Viren Wächter vorher deaktivieren!! Ihr seht alles was das Programm macht.

Sobald auch hier der Neustart fertig ist, warten.

Mit Smitfraufix öffnet sich eine command zeile. Hier könnt ihr auswählen was zuerst. Hier ist das beste der Abgesicherte Modus(Bios Logo, F8 und wählen)

Dann bei Fund Clean.e

Jetzt läuft Euer PC nicht langsamer sondern schneller.

Habt ihr dennoch Probleme? Schreibt mir einfach.

http://www.ki.tng.de/~hellabella/sicher/

 

[Deadbones]

selbst schuld. wer nimmt denn bitte auch so schlecht gefaked viren an

 

[gm-style]

Jemand der mit Solchen Endungen nichts zu tue hat. Jeder Mensch ist nicht perfekt.

 

[Scheinweltname]

was wieder mal beweist, dass man UNBEDINGT auch bekannte Dateiendungen einblenden lassen sollte, dann könnte man so eine Datei nicht mit einem *.jpg verwechseln.

(Systemsteuerung -->) Ordneroptionen --> Ansicht --> Häkchen entfernen bei "Erweiterungen bei bekannten Dateitypen ausblenden"

Vermutlich war diese Option beim Betroffenen aktiv, sodass die Datei für ihn wirklich wie ein *.jpg aussah (die Endung .scr wurde ihm nicht angezeigt, und die Datei-Bildchen lassen sich ja leicht ändern).

 

[Lord_British]

Jemand der mit Solchen Endungen nichts zu tue hat. Jeder Mensch ist nicht perfekt.

überflüssiges Zitat entfernt *klick*

Findet man Combofix und Smitfrufix nicht per Google, oder weshalb bietest du ftp server upload an?

 

[MountWalker]

Das falsche Verhalten liegt nicht in einer Unkenntnis einer Endung begründet, denn die Endung sollte man sich grundsätzlich immer völlig egal sein lassen, sondern im Annehmen und Öffnen der Datei aus einer unbekannten Quelle. Wenn Grafikprogramm XY eine Lücke hat, kann man auch in ein "reines" JPG selbst direkt Code einbauen, der einen Buffer Overflow über das Grafikprogramm hervorruft und so das Einschleusen von ausführbarem Code ermöglicht.

 

[Deadbones]

nee, mir wurden in MSN auch schon solche dateien "angeboten" . da steht dann sinngemäss
"hier meine neuen heissen fotos IRGENDEINNAME.jpg.src"
gibts auch mit nem link, der auf eine URL deutet die fast wie www.imageshack.us aussieht.

anschliessend geht der kontakt in der liste offline.

 

[GnumbSkull]

kannst du dir wirklich sicher sein, daß das system jetzt sauber ist? ich denke, das kannst du nicht.

ich hätte in der zeit lieber windows neu installiert und ein backup für die zukunft gemacht

 

[theblackfrog]

wer nimmt denn bilder von fremden an? derjenige wollte bestimmt nacktbilder sehen

 

[gm-style]

Schade das ihr euch darüber schrott lachen tut.
Also so wird das nichts. Doch die Datei wird so angezeigt. Aber ehrlich. Das machen viele, ihr seit dann die Ausnahme!!

Ja der Upload damit man nicht suchen muss.

Aber wäre erfreut wenn hier jemand schreibt der ihn hat und welche die meinen sie machen solche fehler nicht.

Aber gut, es ist nur eine Anleitung.

 

[STU]

wer nimmt denn bilder von fremden an? derjenige wollte bestimmt nacktbilder sehen

Die Datei verschickt sich sobald man diese angenommen hat von selbst an alle icq kontakte des jeweiligen Benutzers. Also man bekommt diese Datei von einem "Freund" zugeschickt und sobald man Sie angenommen hat, verteilt man man Sie selbst.

Ein Kollege von mir hat die Dateien auch vor kurzem gestreut. Konnte aber schnell genug erkannt werden, so das alle Kontakte vorgewarnt wurden^^

@gm-style: Gute Anleitung ;-) werde diese der Betroffenen Person gleich mal weiterleiten :-)

 

[dirky8]

Deine Anleitung ist zwar nett...aber erstens haben die Poster über mir Recht.

Und zweitens macht man Backup(direkt nach der Neuinstallation welches im Schrank verschwindet).

Und drittens würde ich immer die Zeit die für irgendwelche Reperatur/Suche verschwendet wird für das aufspielen des "SchrankBackups" nutzen(30min und der Virus ist hin).

Und so wichtige Daten hat der Stino-User nicht, sonst wäre er sich dessen bewusst und würde die sich andere sichern.

Sry meine Meinung

 

[GnumbSkull]

das mit dem lachen beziehe ich mal nicht auf mich.
aber falls du mich falsch verstanden haben solltest: es war ein denkanstoß.
für mich als fachmann (it-systemelektroniker) heißt virus zu 100% neuinstall ohne wenn und aber, denn das ist die einzige 100% sichere lösung.
ausserdem würde ich meinem "kunden" dringend eine sinnvolle backup-strategie empfehlen.

 

[Grugeschu]

Wie ich Linux verwenden und man kennt sonen kram nicht mehr.

 

[MountWalker]

Man kan auch auf Windows entsprechende Schranken nutzen - dafür brauchts nicht zwangsläufig Linux. Siehe Anhang - Robert ist das Konto, auf dem ich surfe, arbeite und alles mache.

P.S.
Den meisten Menschen ist das zu viel Aufwand - ich find den Aufwand nichtig, wenn ich mir den tausendmal größeren Aufwand ansehe, den andere beim Entfernen von Viren haben.

 

[Dangermany]

Hallo Leute!

Scheinbar ist der Virus aktuell wieder im Kommen... ein Revival sozusagen...

hier eine schnelle Anleitung, wie ihr ihn los werdet:

1. Da es sich um einen Screensaver im Format handelt erstmal den Bildschirmschoner deaktivieren.
2. Das Programm Malwarebytes herunterladen und installieren
3. Das Programm Malwarebytes aktualisieren (Virenupdates)
4. Alle Programme schließen, vom Internet trennen, dann Malwarebytes laufen lassen
5. Alle Viren löschen und nach dem obligatorischen Neustart ist alles wieder beim Alten ^^

Beste Grüße
Dangermany

 

[DJServs]

kannst du dir wirklich sicher sein, daß das system jetzt sauber ist? ich denke, das kannst du nicht.

ich hätte in der zeit lieber windows neu installiert und ein backup für die zukunft gemacht

Dem kann man sich nur in vollem Umfang anschließen :-D!
Gerade als "Profi" sollte man da einfach kein Risiko eingehen und sich auf Programme die auf einem kompromittierten System installiert wurden... DAS ist mehr als Fahrlässig und absolut unprofessionell.
Wenn du dafür auch noch Geld genommen haben solltest, sind wir vom Wort unverschämt auch nciht mehr weit weg ;-)!