Subject: ACHTUNG, gemeiner VIRUS. Dringend diese Datei auf Ihrem
Webserver einbinden

================================================================

Sehr geehrte Damen und Herren,

im Moment werden Millionen Webserver von Viren befallen.
Bitte binden Sie unbedingt den Anhang zum Schutz auf Ihrer Webseite
in folgendes Verzeichnis ein:

www.website.de/robots.txt

Die Robots-Datei erstellen Sie mir Ihrem Editor:
____________________________________________
User-agent: *
Disallow: /
______________________________________________

Diese speichern Sie als robots.txt und binden Sie in Ihrem
Hauptverzeichnis ein.
Nur so ist sicher, dass kein Schaden entsteht indem Sie dem
Virus verbieten, Ihre Webseite zu besuchen.

Bitte beeilen Sie sich, da an diesem Woche mit einem erheblichen
Angriff zu rechnen ist.

Wie blöd sollen wir eigentlich sein? Wenn ich mache, was die vorschlagen, darf keine Suchmaschine mehr auf die Webseite zugreifen. Hahaha, widdsisch! Aber ich bin nicht allein, hier nur ein paar Beispiele: netzwelt, to be different than the Tellerrand, Adult Webmaster Blog

Tja, die wichtigen Sachen werden weggeklickt, die Viren werden angeklickt … und schon war so ein Blödmann auf dem Rechner, der auf dem Desktop Daten hinterließ und PopUps öffnete und die Startseite entführt hat und überhaupt! Böse Welt!

Männer sind ja an sich was Schönes, nur wenn sie meinen, ihr Computerwissen wäre gottgegeben, nur weil ihnen dieser Wurmfortsatz zwischen den Beinen pendelt …. nein, den letzten Satz habe ich besser nicht geschrieben. Aber ich wusste gleich, dass die CD-ROM mit dem Virentoolkit, die im Dezember der ‘ct beilag, nicht helfen würde. Aber ich hab den Jung’ mal machen lassen. Einen halben Tag lang rödelte und machte das Teil (die CD!). Erfolglos, wer hätte das gedacht? (Na ich natürlich, Klugscheißer-Emanze, Schwanzabschneiderin, Latzhosentussi!)

Es ist einfach nicht so einfach mit Trojanern, die sich in die Registry eingraben. Eine Weile habe ich schon gebraucht, aber mit folgenden Schritten ging das Ding runter (welcher Virus das genau war, weiß ich nicht mal …):

1. Den SmitfraudFix runterladen und entpacken. Den Ordner irgedwo ablegen, wo man ihn gut wiederfindet, auf dem Desktop zum Bleistift.
2. Die SmitfraudFix.exe per Doppelklick öffnen. Die Option #1 “Search” auswählen und schauen, was gefunden wird. Das Suchergebnis könnte man in die Zwischenablage kopieren und in einer Textdatei abspeichern, falls man sicher gehen will, ob man nicht noch einmal jemanden in irgendeinem Forum danach fragen möchte.
3. Computer neu starten und per F8 in den Safe-Mode gehen. Das ist das ganz am Anfang im schwarz-weißen Bildschirm, über das man immer drüberliest … Wenn man endlich drin ist (dauert …), zum SmitfraudFix-Ordner gehen und smitfraudfix.cmd aufrufen.
4. Jetzt beherzt die #2 “Clean” aufrufen und ihn mal schön machen lassen. Wenn er fragt, ob er dieses oder jenes machen soll, mit “yes” antworten. — So what? Der Computer ist gerade funktionsuntüchtig und wird es auch bleiben, wenn man ihn nicht reinigt! Keine Angst! Viel mehr kann man nicht kaputt machen!
5. Jetzt ist ein Neustart fällig. Gut, denn danach kann man erst wieder ins Internet, um den ATF Cleaner von hier runterzuladen. Wieder irgendwo hintun, wo man ihn wiederfindet, Desktop beispielsweise. Doppelklick auf die .exe und die Optionen
   • Windows Temp
   • Current User Temp
   • All Users Temp
   • Temporary Internet Files
   • Prefetch
   • Java Cache

   zum Reinigen markieren. Programm schließen und auf zum Enspurt!

6. OTMoveIt runterladen und starten. Auf CleanUp! klicken, alle Anfragen abnicken und evtl auf Anfrage den Rechner neu starten. Und jetzt sollte alles erledigt sein.

Na, das war doch ganz einfach, oder?

Ich war mal wieder auf Webseiten, wenn die aufpoppen, ist der Virenscanner nur noch am Rödeln. Scheinbar rödelte er aber am Wichtigsten vorbei. Ich war schon längst fertig mit Surfen, gehe auf meinen Desktop und finde ihn anstatt in dezentem Schwarz mit meinem Desktopkalender in Kreischblau, in der Mitte ein schwarzer Kasten mit roter Schrift:

SPYWARE INFECTION

Your system is infected with spyware. Windows recommends you to use a spyware removal tool to prevent loss of important data and increase system prefomance. Using this PC before having it cleaned from spyware threats is highly discouraged.

Kreisch! (und das nicht blau)

Okay, Wallpapers lassen sich ja leicht wechseln. Pustekuchen! Das System zeigt an, ich hätte kein Hintergrundbild auf dem Desktop und im übrigen klicke ich ins Leere, die Liste reagiert nicht. Na prima!

Zuerst hab ich Hijackthis drüberlaufen lassen, der fand einen Haufen Cookies, aber sonst nichts ungewöhnliches. Also hab ich gleich gegoogelt. Feines Ergebnis: http://www.paules-pc-forum.de/phpBB2/topic,60635.html.
Ziemlich weit unten gibt das Mitglied “Printmaster” den guten Tipp: Erstens, man soll den Wallpaper Hijack Remover unter http://www.ieshell.com/dl.html herunterladen und man soll zweitens mal die Testversion von The Cleaner herunterladen: http://www.moosoft.com/products/cleaner/download/

Der Wallpaper Hijack Remover ist – wie HijackThis! – eine schlanke exe-Datei, die auf meinem Desktop gleich ein warmes Plätzchen gefunden hat. Beim Starten gibt sie mir ein Beispiel aus, was mit meinem Rechner los sein könnte: “A fatal error in IE has occurred at 0028:C0011E36 in
VXD VMM(01) 00010E36. Error was caused by Trojan-Spy.HTML.Smitfraud.c” und den Hinweis, die Platte mit einem Virenscanner zu überprüfen. Das spare ich mir erstmal, so lange ich nicht die neueste Virensignatur runtergeladen habe (und das habe ich noch nicht). Dann geht es weiter, ich klicke auf “Check for Hijack”, dann bei den einzelnen Optionen auf “Repair” und kann anschließend den hässlichen Desktop-Hintergrund wieder gegen meinen gewohnt dezenten Kalender austauschen!

Derweil hab ich den Virenscanner auf den neuesten Stand gebracht (AntiVir) und er meldet mir gerade eine Datei im Download-Verzeichnis, die mit dem Trojanischen Pferd TR/Dldr.Small.bvn infiziert sein soll. Währenddessen läuft “The Cleaner” und verrichtet seinen Dienst. Den
merke ich mir, werde ihn aber erstmal wieder deinstallieren, wenn er seine Arbeit getan hat. Das wird aber noch einige Zeit dauern …

Kam von FIFA [at] ok2006 [dot] de mit dem Text:
beim Run
auf die begehrten Tickets für die 64 Spiele der Weltmeisterschaft 2006
in Deutschland sind Sie dabei.

Weitere Details ihrer Daten entnehmen Sie bitte
dem Anhang.

Ihr “ok2006″ Team
St. Rainer Gellhaus

— FIFA-Pressekontakt:
— Pressesprecher Jens
Grittner und Gerd Graus
— FIFA Fussball-Weltmeisterschaft 2006
— Organisationskomitee Deutschland
— Tel. 069 / 2006 – 2600
— Jens [dot] Grittner [at] ok2006 [dot] de
— Gerd [dot] Graus [at] ok2006 [dot] de

**** AntiVirus-System: Kein Virus erkannt
****
“T-ONLINE” AntiVirus Service
**** WebSite:

http://www.t-online.de

Höhöhö … gewarnt vom letzten Mal, hab ich noch nicht auf den Anhang geklickt, aber das Antivir mal auf den neuesten Stand gebracht … das mache ich jetzt nochmal, und dann klicke ich wieder, unverbesserlich wie ich bin.

Ach, und dann kam gleich noch einer rein, wird der gleiche sein, mit anderem Text:
Passwort und Benutzer-Informationen befinden sich in der beigefuegten Anlage.

*-* http://www.nme.at
*-* MailTo:
PasswordHelp [at] nme [dot] at

Mal schauen, ich lasse nochmal Antivir aktualisieren, die haben heute schon wieder eine neue Erkennungsdatei auf dem Server … ah, beide sind Sober.P. Antivir hat ihn erkannt und geblockt. Brav!

Einen Virus im Email-Anhang zu haben, ist mir nichts ungewöhnliches. Wie immer klicke ich das Ding neugierig an. Anstatt dass das Antivirenprogramm ausflippt, öffnet sich WinZip. Da war es wohl schon zu spät.

Der Nachrichtentext lautet folgendermaßen:
Verdammt,,,, ich hatte vergessen Dir meinen Text mitzuschicken.

Aber bitte nicht woanders darueber Reden, ich wuerde mich dann zu Tode blamieren!

Ich melde mich.

Bis bald

Der Anhang ist die gezippte Datei “Private-Texte.zip”

Erstmal merke ich nichts. Dann fragt ZoneAlarm, ob irgendeine 1472-ichweißnichtmehrwas-exe auf das Internet zugreifen darf. Eine services.exe macht sich als Dienst bemerkbar. Ich will den Virenscanner anwerfen. Ein Fenster öffnet sich, das wäre unnötig, die Platte wäre gescannt und virenfrei. Ah ja! Jetzt wird es mühsam. Mit meinen wenigen Informationen will ich googeln. Die DFÜ-Verbindung wird jedes Mal nach wenigen Sekunden getrennt. Trotzdem finde ich die exakte Beschreibung des Virus unter

viren_und_sicherheit/virus_warnungen/vw190405/ . Gott sei Dank habe ich jemanden mit Laptop greifbar, der mir die neueste Version des Virenscanners herunterladen kann, aber es funktioniert immer noch nicht. Ich muss die services.exe, die sich mehrfach als Dienst startet, aus dem System kriegen.

Hochfahren im abgesicherten Modus. HijackThis (zu bekommen unter http://www.merijn.org/index.html) ist der Retter in der Not, da das Virenprogramm den Virus noch nicht erkennt. Im abgesicherten Modus gestartet, erkennt HijackThis im ersten Durchlauf zwei Instanzen der services.exe, die ich entfernen kann. Im zweiten Durchlauf ist noch einmal eine Instanz vorhanden, die auch bereinigt werden kann. Im dritten Durchlauf ist alles okay.

Der Neustart im normalen Arbeitsmodus lässt mich durchschnaufen: Alles wieder okay! Nochmal HijackThis drübergejagt, aber keine Probleme mehr gefunden. Tags darauf gab es übrigens noch ein aktuelles Update für das Virenprogramm, das dann den Virus identifizieren und entfernen konnte.

Fazit: Keine Panik! Aber man sollte HijackThis und mindestens ein Programm zur Adware-Abwehr immer greifbar haben und auch verwenden.

Man nennt ihn auch Troj/Banker-AU, und Troj/Banker-AU ist ein Kennwort stehlender Trojaner, der Kunden brasilianischer Banken zum Ziel hat. Troj/Banker-AU versucht, Tastenfolgen zu speichern, die auf bestimmten Websites und in Online-Banking-Anwendungen eingegeben werden. Der Trojaner kann gefälschte Benutzeroberflächen anzeigen, damit Anwender vertrauliche Daten eingeben. Die gestohlenen Daten werden per E-Mail an einen remoten Anwender gesendet.
Gerade hab ich die Mail vom Server gelöscht. Ich bin froh über TheBat! und AntiVir Personal Edition …!!!