Supportnet / Forum / WindowsXP
wurm virus W32.Gibe.B at mm
Frage
Patch 130exe virus W32.Gibe.B at mm
habe blöderweise die angebliche MS Mail geöffnet und krieg den Wurm oder Virus nicht weg.
Selbst Norton, gepflegt nicht.
Wer hilft mir. Danke
Antwort 1 von Lutz1965
Hallo,
normal sollte es hiermit gehen:
http://www.symantec.com/avcenter/venc/data/w32.gibe@mm.removal.tool...
Gruss
Lutz
normal sollte es hiermit gehen:
http://www.symantec.com/avcenter/venc/data/w32.gibe@mm.removal.tool...
Gruss
Lutz
Antwort 2 von Lutz1965
Hier noch ein paar Infos zum Virus :
[Url]http://www.de.sophos.com/virusinfo/analyses/w32gibed.html[/url]
[Url]http://pctip.ch/helpdesk/virenticker/archiv/20662.asp?action=email[/url]
[Url]http://www.de.sophos.com/virusinfo/analyses/w32gibed.html[/url]
[Url]http://pctip.ch/helpdesk/virenticker/archiv/20662.asp?action=email[/url]
Antwort 3 von ww
hallo lutz danke für die schnelle Antwort.
Habe FixGibe.exe runtergeladen.
Leider lässt sich diese nicht ausführen.
Wird verweigert, angeblich keine Zugriffrechte.
Der Virus hat anscheinden die Zugangskennwörter vertauscht (hatte aber vorher keine vergeben.
Was kann ich tun?
Danke für weitere Hilfe Werner
Habe FixGibe.exe runtergeladen.
Leider lässt sich diese nicht ausführen.
Wird verweigert, angeblich keine Zugriffrechte.
Der Virus hat anscheinden die Zugangskennwörter vertauscht (hatte aber vorher keine vergeben.
Was kann ich tun?
Danke für weitere Hilfe Werner
Antwort 4 von Lutz1965
Hallo....
bist Du denn nicht als Admin angemeldet ?...
Hast Du Dir schon mal die Lins aus Antwort 2 angesehn ?
Gruss
Lutz
bist Du denn nicht als Admin angemeldet ?...
Hast Du Dir schon mal die Lins aus Antwort 2 angesehn ?
Gruss
Lutz
Antwort 5 von ww
hallo lutz, danke, danke dass wenigstens einer einem Anfänger hilft.
Boote schon immer ohne Passwort XP. Seit dem Virus steht nun mein Name zu Anklickcne. Dann wird das Betriebss geladen. Dann erscheint laufen die blöde meldung Adresse eingeben us.
Mein Norton Antivir und XP Firewall ist auf dem neusten Stand. Habe Norton de und reinstalliert.. Leider wird wenns ans eliminieren geht immer mit einem Fenster "keine Zugriffsrechte" verweigert.
Zum kotzen!
Habe nun auch den Patch Fix Gibe exe runtergeladen , lässt sich auch nicht ausführen. An die Registrie trau ich mich nicht so recht
danke für weitere "einfachere" Hilfe!?
herzlihcst werner
Boote schon immer ohne Passwort XP. Seit dem Virus steht nun mein Name zu Anklickcne. Dann wird das Betriebss geladen. Dann erscheint laufen die blöde meldung Adresse eingeben us.
Mein Norton Antivir und XP Firewall ist auf dem neusten Stand. Habe Norton de und reinstalliert.. Leider wird wenns ans eliminieren geht immer mit einem Fenster "keine Zugriffsrechte" verweigert.
Zum kotzen!
Habe nun auch den Patch Fix Gibe exe runtergeladen , lässt sich auch nicht ausführen. An die Registrie trau ich mich nicht so recht
danke für weitere "einfachere" Hilfe!?
herzlihcst werner
Antwort 6 von ww
hallo lutz ich bins nochmal
habe nun versucht über, start,l ausflühren, "regedite" in die Registrie zu kommen. Leider wird auch hier der Zugriff verweigert mlit dem Hinweis
...es kann nicht zugegriffen werden...evtl verfügen Sie nicht über die Berechtigung...
Was könnte man hier tun?
habe nun versucht über, start,l ausflühren, "regedite" in die Registrie zu kommen. Leider wird auch hier der Zugriff verweigert mlit dem Hinweis
...es kann nicht zugegriffen werden...evtl verfügen Sie nicht über die Berechtigung...
Was könnte man hier tun?
Antwort 7 von DJWolfgang
Zitat:
Nachfolgend einige detaillierte Informationen zu W32/Swen, auch bekannt unter dem Namen W32/Gibe-F. Dieser Wurm verbreitet sich rasend schnell im Internet und tarnt sich dabei als Microsoft Patch. Die Infos stammen von Sophos.de:
W32/Gibe-F ist ein Wurm, der sich verbreitet, indem er sich mit seiner eigenen SMTP-Engine per E-Mail an Adressen versendet, an die er aus verschiedenen Quellen auf den Laufwerken des Opfers (z. B. MBX- und DBX-Dateien) gelangt. Der Wurm verbreitet sich außerdem, indem er sich in die freigegebenen Ordner des KaZaA-Peer-to-Peer-Netzwerks kopiert, und über IRC-Kanäle. W32/Gibe-F kann auch versuchen, sich über Usenet Newsgroups (NNTP) zu verbreiten.
Wenn der Wurm mit einem Dateinamen gestartet wird, der mit einem P, Q, U oder I beginnt (Groß- oder Kleinschreibung ist egal), zeigt W32/Gibe-F folgende Meldung an:
"Microsoft Internet Update Pack
This update does not need to be installed on this system." oder
"This will install Microsoft Security Update. Do you wish to continue?"
Der Wurm kann auch vortäuschen, ein Installationspaket zu sein, indem er ein Installationsfenster mit folgenden Meldungen in der Titelleiste anzeigt:
"Searching for installed components ..."
"Extracting files ..."
"Copying files ..."
"Updating registry ..."
Wenn W32/Gibe-F erkennt, dass die Installation eines Debuggerts im Speicher aktiv ist, zeigt er die Meldung "Try to pull my legs?" an.
Der Wurm kopiert sich dann in den Windows-Ordner als Exe-Datei mit einem zufälligen Namen aus Kleinbuchstaben (z. B. jlfsm.exe) und fügt einen Eintrag zur Registrierung unter
HKLM\Software\Microsoft\Windows\CurrentVersion\Run hinzu, damit er beim Systemneustart ausgeführt wird.
Der Wurm ändert außerdem die Registrierungseinträge unter:
HKCR\exefile\shell\open\command
HKCR\regfile\shell\open\command
HKCR\comfile\shell\open\command
HKCR\batfile\shell\open\command
HKCR\pifile\shell\open\command
HKCR\scrfile\shell\open\command
HKCR\scrfile\shell\config\command
Dadurch wird er vor jeder EXE-, COM-, PIF-, BAT- und SCR-Datei ausgeführt und zeigt eine gefälschte Fehlermeldung (z. B. "Error occurred Memory access violation in module kernel32 at :") an, während REG-Dateien geöffnet werden.
Der Wurm erstellt verschiedene Einträge in der Registrierung, um die Installation anzuzeigen, die KaZaA-Infektion zu bestätigen und zu verhindern, dass REGEDIT.EXE startet.
W32/Gibe-F kann auch eine Datei namens SWEN1.DAT im Windows-Ordner mit einer Liste mehrerer IP-Adressen und Domänennamen erstellen, bei denen es sich um NNTP-Server handeln kann.
W32/Gibe-F kann versuchen, die IFRAME-Schwachstelle in bestimmten Versionen von Microsoft Internet Explorer und Outlook Express auszunutzen, die das automatische Ausführen von Attachments während der Ansicht einer E-Mail ermöglicht. Microsoft hat ein Patch zur Verfügung gestellt, das Berichten zufolge diese Sicherheitslücke schließt. Das Patch steht unter www.microsoft.com/technet/security/bulletin/MS01-020.asp zur Verfügung.
Von diesem Wurm erzeugte E-Mails haben folgende Merkmale:
Sender: kann der vertrauenswürdige Name des Opfers oder zufällig aus folgender Liste erzeugt sein:
unknown
Microsoft
Support
Assistance
Services
Bulletin
Customer
Public
Technical
Center
Department
Section
Division
Security
Network
Internet
Program
Corporation
Microsoft
MS
Domain
Server
Receiver
Recipient
Client
Receiver
Recipient
Puremail
America
Netmail
Freemail
Bigfoot
Rocketmail
Routine
Program
Daemon
Automat
Engine
Service
Mailer
master
System
Service
Delivery
Storage
Message
Email
Postmaster
Administrator
und
bulletin
confidence
advisor
updates
technet
support,
newsletters
ms
msn
microsoft
msdn
.com
.net
(z. B. MS Support Department <zufällig>@support.microsoft.com)
Empfänger: zufällig aus folgenden erzeugt:
User
Client
Consumer
Partner
Customer
Commercial
Corporation
Microsoft
MS
Betreffzeile: zufällig aus folgenden erzeugt:
Corp.
Corporation
comes
which
Internet Explorer
Windows
update
package
correction
corrective
security
critical
internet
important
these
Install
Apply
Watch
Take a look at
Look at
Try on
Taste
Prove
Check out
Check
Upgrade
Update
Critical
Latest
Newest
Current
M$
MS
from
comes
came
which
this
that
these
the
See
Watch
Use
Apply
Text: zufällig aus folgenden erzeugt:
MS
Microsoft
Customer,
this is the latest version of security update, the
, Cumulative Patch update which
This update includes the functionality
of all previously released patches.
computer
system
on your
executable
to run
malicious user
attacker
the most serious of which could
allow an
from these vulnerabilities
maintain the security of your computer
protect your computer
continue keeping your computer secure
Install now to
vulnerabilities
newly discovered
as well as three
all known security vulnerabilities affecting
MS Internet Explorer, MS Outlook and MS Outlook Express
eliminates
resolves
Die angehängte Datei (EXE, COM, PIF, BAT, SCR oder ZIP) kann einen zufällig erzeugten Namen haben oder zufällig aus folgenden gewählt sein:
PATCH
UPDATE
UPGRADE
INSTALL
W32/Gibe-F kopiert sich in den freigegebenen KaZaA-Ordner und in den Windows-Ordner unter Verwendung verschiedener EXE- oder ZIP-Dateinamen, die aus folgenden erzeugt werden (z. B. "WINZIP UPLOAD.EXE"):
Virus Generator
Magic Mushrooms Growing
Cooking with Cannabis
Hallucinogenic Screensaver
My naked sister
XXX Pictures
Sick Joke",
XXX Video
XP update
Emulator PS2
XboX Emulator
HardPorn
Jenna Jameson
Hotmail hacker
Yahoo hacker
AOL hacker
fixtool
cleaner
removal tool
remover
Sircam
Bugbear
installer
upload
hacked
key generator
Windows Media Player
GetRight FTP
Download Accelerator
Winamp
WinZip
WinRar
KaZaA media desktop
Kazaa Lite
W32/Gibe-F versucht, verschiedene Prozesse, die mit Antiviren- oder Sicherheitssoftware im Zusammenhang stehen, zu beenden (z. B. sweep95, zonealarm und blackice).
Nachfolgend einige detaillierte Informationen zu W32/Swen, auch bekannt unter dem Namen W32/Gibe-F. Dieser Wurm verbreitet sich rasend schnell im Internet und tarnt sich dabei als Microsoft Patch. Die Infos stammen von Sophos.de:
W32/Gibe-F ist ein Wurm, der sich verbreitet, indem er sich mit seiner eigenen SMTP-Engine per E-Mail an Adressen versendet, an die er aus verschiedenen Quellen auf den Laufwerken des Opfers (z. B. MBX- und DBX-Dateien) gelangt. Der Wurm verbreitet sich außerdem, indem er sich in die freigegebenen Ordner des KaZaA-Peer-to-Peer-Netzwerks kopiert, und über IRC-Kanäle. W32/Gibe-F kann auch versuchen, sich über Usenet Newsgroups (NNTP) zu verbreiten.
Wenn der Wurm mit einem Dateinamen gestartet wird, der mit einem P, Q, U oder I beginnt (Groß- oder Kleinschreibung ist egal), zeigt W32/Gibe-F folgende Meldung an:
"Microsoft Internet Update Pack
This update does not need to be installed on this system." oder
"This will install Microsoft Security Update. Do you wish to continue?"
Der Wurm kann auch vortäuschen, ein Installationspaket zu sein, indem er ein Installationsfenster mit folgenden Meldungen in der Titelleiste anzeigt:
"Searching for installed components ..."
"Extracting files ..."
"Copying files ..."
"Updating registry ..."
Wenn W32/Gibe-F erkennt, dass die Installation eines Debuggerts im Speicher aktiv ist, zeigt er die Meldung "Try to pull my legs?" an.
Der Wurm kopiert sich dann in den Windows-Ordner als Exe-Datei mit einem zufälligen Namen aus Kleinbuchstaben (z. B. jlfsm.exe) und fügt einen Eintrag zur Registrierung unter
HKLM\Software\Microsoft\Windows\CurrentVersion\Run hinzu, damit er beim Systemneustart ausgeführt wird.
Der Wurm ändert außerdem die Registrierungseinträge unter:
HKCR\exefile\shell\open\command
HKCR\regfile\shell\open\command
HKCR\comfile\shell\open\command
HKCR\batfile\shell\open\command
HKCR\pifile\shell\open\command
HKCR\scrfile\shell\open\command
HKCR\scrfile\shell\config\command
Dadurch wird er vor jeder EXE-, COM-, PIF-, BAT- und SCR-Datei ausgeführt und zeigt eine gefälschte Fehlermeldung (z. B. "Error occurred Memory access violation in module kernel32 at :") an, während REG-Dateien geöffnet werden.
Der Wurm erstellt verschiedene Einträge in der Registrierung, um die Installation anzuzeigen, die KaZaA-Infektion zu bestätigen und zu verhindern, dass REGEDIT.EXE startet.
W32/Gibe-F kann auch eine Datei namens SWEN1.DAT im Windows-Ordner mit einer Liste mehrerer IP-Adressen und Domänennamen erstellen, bei denen es sich um NNTP-Server handeln kann.
W32/Gibe-F kann versuchen, die IFRAME-Schwachstelle in bestimmten Versionen von Microsoft Internet Explorer und Outlook Express auszunutzen, die das automatische Ausführen von Attachments während der Ansicht einer E-Mail ermöglicht. Microsoft hat ein Patch zur Verfügung gestellt, das Berichten zufolge diese Sicherheitslücke schließt. Das Patch steht unter www.microsoft.com/technet/security/bulletin/MS01-020.asp zur Verfügung.
Von diesem Wurm erzeugte E-Mails haben folgende Merkmale:
Sender: kann der vertrauenswürdige Name des Opfers oder zufällig aus folgender Liste erzeugt sein:
unknown
Microsoft
Support
Assistance
Services
Bulletin
Customer
Public
Technical
Center
Department
Section
Division
Security
Network
Internet
Program
Corporation
Microsoft
MS
Domain
Server
Receiver
Recipient
Client
Receiver
Recipient
Puremail
America
Netmail
Freemail
Bigfoot
Rocketmail
Routine
Program
Daemon
Automat
Engine
Service
Mailer
master
System
Service
Delivery
Storage
Message
Postmaster
Administrator
und
bulletin
confidence
advisor
updates
technet
support,
newsletters
ms
msn
microsoft
msdn
.com
.net
(z. B. MS Support Department <zufällig>@support.microsoft.com)
Empfänger: zufällig aus folgenden erzeugt:
User
Client
Consumer
Partner
Customer
Commercial
Corporation
Microsoft
MS
Betreffzeile: zufällig aus folgenden erzeugt:
Corp.
Corporation
comes
which
Internet Explorer
Windows
update
package
correction
corrective
security
critical
internet
important
these
Install
Apply
Watch
Take a look at
Look at
Try on
Taste
Prove
Check out
Check
Upgrade
Update
Critical
Latest
Newest
Current
M$
MS
from
comes
came
which
this
that
these
the
See
Watch
Use
Apply
Text: zufällig aus folgenden erzeugt:
MS
Microsoft
Customer,
this is the latest version of security update, the
, Cumulative Patch update which
This update includes the functionality
of all previously released patches.
computer
system
on your
executable
to run
malicious user
attacker
the most serious of which could
allow an
from these vulnerabilities
maintain the security of your computer
protect your computer
continue keeping your computer secure
Install now to
vulnerabilities
newly discovered
as well as three
all known security vulnerabilities affecting
MS Internet Explorer, MS Outlook and MS Outlook Express
eliminates
resolves
Die angehängte Datei (EXE, COM, PIF, BAT, SCR oder ZIP) kann einen zufällig erzeugten Namen haben oder zufällig aus folgenden gewählt sein:
PATCH
UPDATE
UPGRADE
INSTALL
W32/Gibe-F kopiert sich in den freigegebenen KaZaA-Ordner und in den Windows-Ordner unter Verwendung verschiedener EXE- oder ZIP-Dateinamen, die aus folgenden erzeugt werden (z. B. "WINZIP UPLOAD.EXE"):
Virus Generator
Magic Mushrooms Growing
Cooking with Cannabis
Hallucinogenic Screensaver
My naked sister
XXX Pictures
Sick Joke",
XXX Video
XP update
Emulator PS2
XboX Emulator
HardPorn
Jenna Jameson
Hotmail hacker
Yahoo hacker
AOL hacker
fixtool
cleaner
removal tool
remover
Sircam
Bugbear
installer
upload
hacked
key generator
Windows Media Player
GetRight FTP
Download Accelerator
Winamp
WinZip
WinRar
KaZaA media desktop
Kazaa Lite
W32/Gibe-F versucht, verschiedene Prozesse, die mit Antiviren- oder Sicherheitssoftware im Zusammenhang stehen, zu beenden (z. B. sweep95, zonealarm und blackice).
MfG
DJWolfgang
Antwort 8 von DJWolfgang
Hi
versuch mal im "abgesicherten Modus" in deine Registry zu kommen und diese zu bereinigen....ebenso wie das Windows-Verzeichnis.....wenn alles nicht geht bleibt nur noch eine Neuinstallation übrig...
DJWolfgang
versuch mal im "abgesicherten Modus" in deine Registry zu kommen und diese zu bereinigen....ebenso wie das Windows-Verzeichnis.....wenn alles nicht geht bleibt nur noch eine Neuinstallation übrig...
DJWolfgang
Antwort 9 von Kismo
Hallo Werner,
eventuell klappt es mit einer Systemwiederherstellung zu einem Zeitpunkt vor dem Wurm. Hast Du das schon versucht?
Gruß
Kismo
eventuell klappt es mit einer Systemwiederherstellung zu einem Zeitpunkt vor dem Wurm. Hast Du das schon versucht?
Gruß
Kismo
Antwort 10 von Lutz1965
Hallo Werner,
hast Du es im "abgesicherten Modus"
versucht ?
Gruss
Lutz
hast Du es im "abgesicherten Modus"
versucht ?
Gruss
Lutz