Virenalarm---W32.Klez.H@mm ----Kacke am dampfen?! - 500 Beiträge pro Seite

Hallo erstmal,

ich habe ein Problem, das wahrscheinlich mit Viren zu tun hat:
Ich bekomme seit vorgestern, trotz Norton Systemworks, in mein
Outlook Emailordner Retunrned Emails von unter anderem auch T-online
Adressen wie z.B: mailout07.sul.t-online.com, michelle@ims.com,
tpeopleu@icqmail.com, fwd07.sul.t-online.de und anderen, wobei ich
diese Emails keinem Bekannten von mir zuornden kann geschweige denn
das ich sie verschickt habe.
Norton findet in diesen Emails teilweise ein Virus der das Element mb
404.scr beinhaltet und unter dem Virennamen W32.Klez.H@mm laeuft. Ich isoliere diese Mails, aber ich bin in Sorge, dass sie schon Auswirkung auf meinen Rechner ausgeuebt haben. Wie ich gerade sehe ist der Versender dieser Infektioesen Email postmaster@yahoo.de und
MAILER-DAEMON@aol.com. Bitte klärt mich auf, mit welchen
Schritten ich dieses Problem beheben kann, und wie ich vorgehen will damit ich in Zukunft nicht mehr mit diesen Problemen konfrontiert werde.

Ich bedanke mich vielmals fuer eure Bemuehungen

Mit freundlichen Gruessen

Schimpotze

wenn das der virus mit drwatson ist - na dann viel spaß
wir hatten das problem vor einer woche bei einem nt4 server
wir mußten neu aufsetzen
auch microsoft selbst hatte keine lösung - der aufgemachte call hat uns aber 300 Euro gekostet

Hi Schimpi

haste denn Deine Prüfung damals geschafft?

grüsse Funkie

Ja habe ich gg
Unglaublich das Du Dich dadran noch erinnerst, ich fühl mich ja irgendwie geschmeichelt.

Es war aber nur die Zwischenprüfung, der Abschluss ist erst im November.

Aber dieses Problem.....

hier wird Dir geholfen:

http://www.bsi.de/av/vb/klez_h.htm#EntfTool


Gruss
NmA

hi, also wenn du dir unterhttp://www.bitdefender.com
den speziellen entferner für dieses virus lädst,kostenlos, iss alles wieder gut + du bist für zukünftige attacken sogar geschützt!

hier die genaue url:
http://www.bitdefender.com/html/free_tools.php

Danke für die liebe Hilfe von euch.

@hunzenbaerr, ich habe mir den Scanner runtergeladen, nur das Problem ist, er findet ihn nicht. Ich habe die Befürchtung (weiss nicht ob es möglich ist) dass sich der Virus sich gar nicht in meinem Computer befindet, sich sondern nur über die Email versendet, sodass ich einfach nur ein Verteiler bin. Ich habe schon viele Nachrichten von entäuschten und wütenden Leuten bekommen, die ich nicht kenne, und mich wegen der Virusattacke beschimpfen. Ich habe keinen Rat, soll ich vielleicht meine Emailadresse ändern? Vielleicht löst sich das Problem dadurch auf?!

Bitte dringlichst um Hilfe

hallo, hier der Link zum Fix-Programm, damit gehts dann.
Das Problem das du hast ist, das Ding hat halt schon deine Programme umgenannt und ist im Win-System32...
mit folgendem Tool machst du ihn fertig:

URL http://www.antivirus.com/vinfo/security/fix_worm_klez_3.…

So ein Mist, Nein es hat nicht funktioniert. Er hat kein Virus gefunden, wie ist das möglich??? Der Sitzt bei mir in meinem Rechner, und lässt sich nicht finden. Was kann ich nur machen, ich möchte nicht format C, machen zumal ich ja nicht mal weiss ob er nicht dadurch sich schon in meine anderen Partitionen eingenistet hat. Heute Morgen konnte ich meinen Rechner erst im dritten Anlauf ankriegen, ich weiss nicht ob es dieser Virus ist, der sich auch an der Hardware vergeht?!

Hast Du noch eine Idee hunzebaerr, sie könnte Gold wert sein?!

Wenn all diese Programme ihn nicht mehr finden, dann ist folgendes passiert:
du hast, als du dir das ding mit ner mail eingefangen hast, kein virusscanner laufen gehabt, jedenfalls keinen aktualisierten.
dieser virus geht in alle dateien mit endung .exe...xml...usw rein--schreibt sie um, schreibt sogar sich selbst um, dauernd und immer wieder mit anderen namen, und ..jetzt kommts...schreibt ein vollkommen selbstständiges SMTP-Programm...das sogar funktioniert!

Also, null chance, wenn das bereits geschehen ist!

Leider bleibt da wirklich nur formattieren.

Was bedeutet, dass: Das wäre ja grausam!! Kann ich meine Dateien nicht mal sichern, weil ich davon ausgehen muss das er sich dadrin befindet??

Oh mein Gott, nein, ich habe mir tausende mp3´s und Filme auf meiner Platte gebunkert, sind diese dann auch nicht mehr zu gebrauchen?

Was passiert eigentlich, wenn ich dieses Problem nicht beseitige, welche Auwirkung hat dieser Virus?

Worm/Klez.E kopiert sich wahllos in verschiedene Verzeichnisse sowie Unterverzeichnisse auf allen lokalen Laufwerken, sowie alle gesharte Netzlaufwerken mit Schreib-/Lesezugriff. Diese Dateien haben als Dateiextensions .EXE, .PIF, .COM, .SCR, .RAR, .SCR. In einigen Fällen erzeugt der Wurm auch Doppelextension z.B. “Dateiname.txt.exe“

Der Worm/Klez.E droppt einen neuen Virus in das Programme Verzeichnis (meist C:Programme) und führt diesen aus. Der Dateiname wird mit einer zufällig gewählten Buchstabenkombination erstellt. Bei dem Virus handelt es sich um einen Fileinfektor und wird mit der aktuellen VDF als W32/Elkern.C erkannt.

Klez.E versendet sich als Email mit Hilfe seiner eigenen SMTP Engine. Die Empfängeradressen erhält der Wurm aus Windows Adressbuch oder aus Dateien mit der Extension .HTM, .HTML, .DOC, .XLS, .BAT, .TXT, .SCR, .CPP, .C, .BAK. Die Betreffzeile einer solchen Email kann folgendermaßen aussehen:

powful
WinXP
IE 6.0
new
funny
nice
humour
excite
Symantec
Mcafee
F-Secure
Kaspersky
Sophos
Trendmicro
W32.Elkern
W32.Klez.E

Die Betreffzeile kann auch Variieren. So kann der Betreff der Email auch wie folgt aussehen:

a new new game

oder

nice path

oder

a powerful new website

oder

a IE 6.0


Worm/Klez.G erstellt eine HTML-Mail, die eine base64 enkodierte Kopie von sich selbst enhält. Beim Email-Empfang führt sich Klez.E aus, auch wenn dieser nicht aktiv geöffnet wird, sondern nur in der Vorschau angezeigt wird. Dies Betrifft I.E.-basierten E-Mail-Clients (z.B. Microsoft Outlook).

W32/Klez.H (Variante)
vom 19.04.2002

Vom Klez-Virus [1], von dem erste Exemplare gegen Ende 2001 auftauchten, wurde wieder eine neue Variante entdeckt, die von Antivirus-Herstellern unterschiedlich benannt wird. Bei Kaspersky [2], F-Secure [3], NAI [4] und Symantec [5] wurde ihm der Varianten-Buchstabe «H» zugeordnet, Norman [6] kennt ihn als Variante «G» und bei Panda [7] läuft er offenbar unter «I».

In vielen Punkten ähnelt diese Variante den früheren Versionen: Auch Klez.H nutzt eine Sicherheitslücke des Internet Explorers aus, um die schädliche Beilage automatisch zu starten, sobald der Mailempfänger die unliebsame Virenmail liest. Die Sicherheitslücke wird aber mit dem schon lange verfügbaren SP2 (Service Pack 2) des Internet Explorers 5.5 gestopft - oder mit dem separat erhältlichen Patch [8]. Die Absender-Adresse (im «From»-Feld der Mail) ist meist gefälscht.

Betreff und Mail-Text sind zufällig gewählt und können auf den ersten Blick durchaus seriös aussehen, z.B. «1996 Microsoft Corporation», «Editor of PC Magazine.» oder «Telephone number». In mindestens einer solchen Mail gibt sich der Schädling offenbar selber als eine Art Antivirus-Programm aus:

Betreff: Worm Klez.E Immunity
Mailtext: «Klez.E is the most common world-wide spreading worm.It`s very dangerous by corrupting your files.
Because of its very smart stealth and anti-anti-virus technic,most common AV
software can`t detect or clean it.
We developed this free immunity tool to defeat the malicious virus.
You only need to run this tool once,and then Klez will never come into your PC.
NOTE: Because this tool acts as a fake Klez to fool the real worm,some AV monitor maybe cry when you run it.
If so,Ignore the warning,and select `continue`.
If you have any question,please mail to me.»

Auch bei der Beilage sind verschiedene Namen möglich, z.B. ALIGN.pif, User.bat oder line.bat.

Der Wurm mailt sich selber an alle Adressen im Windows Adressbuch und an solche, die er in anderen Dateien auf der Festplatte des Benutzers findet, etwa in der ICQ-Kontaktliste. Zusätzlich kopiert er sich auf verfügbare Netzlaufwerke, ebenfalls mit zufälligen Dateinamen, oft mit doppelten Endungen. Beispiele: 350.bak.scr, bootlog.jpg.exe, user.xls.exe

Auch legt er Kopien von sich in RAR-komprimierten Dateien ab, beispielsweise mit diesen Namen: HREF.mpeg.rar, HREF.txt.rar, lmbtt.pas.rar

Klez.H-Schäden:
Weniger destruktiv als die Variante E, begnügt sich Variante H mit folgendem: Der Virus legt versteckte und verschlüsselte Kopien von ausführbaren Dateien an und überschreibt die Originale mit seinem eigenen Programmcode. Klez kann Programme oder z.B. Virenscanner, die im Hintergrund laufen, deaktivieren. Dies gelingt ihm aber nur, wenn er vom einem seriös aktualisierten Virenscanner nicht schon vorher aufgespürt und blockiert wurde.

W32/Klez.E (Variante)
vom 07.03.2002

Eher heimlich als schnell hat sich die Variante «E» des Klez-Virus [1] bei den Antivirus-Herstellern den ersten Platz in der Februar-Virenstatistik erobert. Seine weite Verbreitung hat er einer Sicherheitslücke des Microsoft Internet Explorers 5.x zu verdanken. Da viele Benutzer ein Mail-Programm verwenden, das den Internet Explorer für die Anzeige von HTML-formatierten Mails braucht (z.B. Outlook, Outlook Express), reicht schon das Lesen der Viren-Mail für eine Ansteckung mit diesem Schädling. Installieren Sie mindestens den Internet Explorer 5.01 SP2 bzw. 5.5 SP2 (SP2 = Service Pack 2), damit Sie vor dieser Sicherheitslücke [2] geschützt sind.

Eindeutige Kennzeichen der E-Mail zu beschreiben, mit der sich Klez.E verbreitet, ist fast ein Ding der Unmöglichkeit. Die Absender-Adresse ist meist gefälscht und stammt aus dem Adressenfundus des tatsächlichen Absenders. Wie in der Beschreibung von NAI (McAfee) zu lesen ist, erscheint jedoch die echte Absender-Adresse im E-Mail-Header, sofern Ihr Mail-Programm ein Anzeigen der kompletten Kopfzeilen erlaubt. Auch beim Betreff gibt`s eine Vielzahl von Variationen, siehe z.B. in den Beschreibungen des Kaspersky Labors [3] oder von NAI [4].

Der Mail-Text kann leer sein oder aus vielen zufällig gewählten Wörtern und Begriffen bestehen. Ein deutliches Indiz für das Vorliegen einer Klez-Mail wäre etwa, wenn der Mail-Text keinen Sinn ergibt. Allerdings fanden sich auch schon normale Sätze in solchen Klez-Mails.

Leider hat der unfreundliche Virenschreiber auch beim Beilagen-Namen ganze Arbeit geleistet. Fest steht, dass es sich entweder um eine Datei mit Endung EXE, BAT, PIF oder SCR handelt - teils mit einer doppelten Endung wie z.B. .DOC.PIF oder .JPG.SCR kaschiert. Ansonsten wird der Name zufällig generiert.

Der Klez.E-Wurm kopiert sich unter einem Namen, der mit «wink» anfängt und eine EXE-Endung trägt, in den Windows System-Ordner (z.B. C:WindowsSystemwinkad.exe oder winkidt.exe). Diese Datei trägt er in der Windows Registry ein, damit sie bei jedem Windows-Start automatisch mitgeladen wird. Der Eintrag befindet sich dann in einem dieser beiden Registry-Zweige:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce

Dann durchsucht der Virus die Windows Registry nach Infos über installierte Programme und deren Installationsordner. Anhand dieser Informationen versucht er die Programmdateien zu infizieren, die er findet.

Beim Anstecken dieser Dateien geht Klez.E so vor: Er legt Dateien an, die gleich heissen wie die infizierten EXE-Dateien, versieht sie mit einer zufälligen Endung und mit den Datei-Attributen «schreibgeschützt», «versteckt» und «system». Wird später ein infiziertes Programm gestartet, entpackt er die Original-Datei mit der zusätzlichen Endung MP8 in einen temporären Ordner und startet sie. Wird das Programm wieder geschlossen, entfernt der Virus die temporäre Datei wieder. Dies ist als Versuch des Virus zu werten, seine Aktivität zu vertuschen.

Findet Klez.E auf der Festplatte Archive, die mit dem RAR-Format komprimiert sind, fügt er diesen infizierte Dateien mit unterschiedlichen Namen hinzu. Letzteres ist ziemlich gemein: Werden RAR-Dateien vom Virenscanner nicht geprüft, riskiert der Besitzer dieser Dateien eines Tages eine neue Infektion seines PCs.

Die Verbreitung an weitere mögliche Klez-Opfer erfolgt via E-Mail an die Einträge des Windows Adressbuchs. Wie die Ur-Variante ist auch Klez.E fähig, sich zusätzlich noch über Netzwerk-Freigaben zu verbreiten (gemäss Sophos [5])

Schäden:
Das reine Infizieren von Dateien und «Sich-Vermehren» reicht Klez.E leider noch längst nicht. Er pflegt auch Virenscanner zu deaktivieren, sofern diese nicht auf den neuesten Stand waren (aktualisierte Virenscanner stoppen ihn meist vorher). Auch löscht Klez.E einige Dateien und Registry-Einträge, die zu Antivirusprogrammen gehören. Aufgrund der Infektion funktionieren auch viele andere Programme nicht mehr richtig und es ist mit einigen Fehlermeldungen und einer beträchtlichen Verlangsamung des Systems zu rechnen.

Und genau wie in der ersten bekannten Klez-Variante pflanzt die «E»-Version bisweilen einen weiteren Bösewicht ins System, nämlich eine neue Variante des Elkern-Virus [6]. Zum Schluss hat Klez.E auch noch einen zeitgesteuerten Schadensteil, der Dateien auf der Festplatte und auf verbundenen Netzlaufwerken mit Nullen überschreibt und somit unbrauchbar macht: Am jeweils 6. Tag der Monate März, Mai, September und November sind Dateien mit den Endungen .txt, .htm, .html, .wab, .doc, .xls, .jpg, .cpp, .c, .pas, .mpg, .mpeg, .bak und .mp3 betroffen und am 6. Tag der Monate Januar und Juli angeblich sogar *alle* Dateien. Allerdings habe man letzteres (gemäss McAfee-Beschreibung) im Labor nicht beobachten können.

Bei Kaspersky [7] und F-Secure [8] wird ein Hilfsprogramm angeboten, um den Virus zu entfernen. Jenes von Kaspersky verwenden Sie so:

1. Laden Sie die Datei clrav.com herunter, ev. nicht mit dem infizierten PC (Datei passt auf eine Diskette)
2. Trennen Sie den infizierten PC vom Netzwerk.
3. Kopieren Sie die clrav.com auf den infizierten PC, z.B. gleich in die oberste Ebene der Festplatte C: (z.B. C:clrav.com).
4. Starten Sie die Datei clrav.com (durch Doppelklick)

Sollte das Programm «Nothing to clean» melden («nichts zu säubern»), öffnen Sie ein DOS-Fenster (Start/Programme/Zubehör/MS-DOS-Eingabeaufforderung). Und tippen Sie folgendes hinein (sofern die Datei clrav.com jetzt in C: liegt):
C:clrav.com /scanfiles

5. Starten Sie Ihren PC neu, und zwar in den abgesicherten Modus.
6. Führen Sie clrav.com erneut aus
7. Installieren Sie Ihr Antivirusprogramm neu (der Virus hat es deaktiviert und daraus einige Dateien gelöscht)
8. Führen Sie umgehend ein Update des Antivirusprogramms durch
9. Scannen Sie mit dem frisch aktualisierten Virenscanner alle Laufwerke. Vermutlich wird es auch den Elkern-Virus entdecken. Hierzu finden Sie unten einen Link mit der Beschreibung.
10. Ist der PC fertig desinfiziert und sind nach ein paar Tagen keine weiteren infizierten Dateien auf Ihrem PC oder in Ihrem Netzwerk aufgetaucht, können Sie die Datei clrav.com wieder löschen. (sal)

Das trifft haargenau auf mich zu.
Nur bleibt mir jetzt tatsächlich nur noch Format C: mit dem Verlust aller Dateien, oder ist es möglich meine wichtigsten zu retten? Exe Dateien kann ich verkraften, die kriege ich wieder zusammen, aber mit den Filmen und Mp3s ist es da schwerer.

Weisst DU in welcher Art und Weise dieser Virus schädigend ist, ausser das er sich an die vielen Emailadressen versendet?

behälst du auch nur eine datei, bist du hinterher wieder verseucht...
es soll sogar schon vorgekommen sein, das trotz formattieren
das ding wieder da war, also mache kein format c oder f-disk...sondern geh mit nem festplatten-reiniger-cleaner dran.

Der untere Abschnitt hat sich doch sehr vielversprechend angehört. Wo ist denn die Adresse von dem zu downloadenden Programm?
Ich danke Dir für Deine aufrichtige Hilfe.
Was ist denn ein Festplatten-reiniger-cleaner?

du weißt aber auch gar nix, beim formattieren sind fast alle dateien nach wie vor auf der platte, deshalb gibt es spezielle HD-programme, die die Festplatte dauerhaft leeren!
ontrack disk-eraser zum bleistift.

hier der link, hilft dir aber nicht viel.

http://www.pctip.ch/helpdesk/virenticker/archiv/20667.asp

@schimpotze

seit wann wird eine MP3 oder AVI oder MPEG datei
durch einen virus unbrauchbar? ein virus kann (so
er einen diesbezueglichen schadensteil hat) deine
dateien unbrauchbar machen, sie aber definitiv
NICHT infizieren!

brenn dir deine dateien mit ´nem CD-brenner runter
und setz´ dein system neu auf.

mach dir danach ´ne kopie der gesamten system-
partition (z.b. mit partition magic), damit kannst
du dann dein system in 10 min wieder auf den sauberen
stand restaurieren.

GGG