Forums Neueste Beiträge
 

MediaMonkey mit Agent.58675

26/10/2007 - 09:48 von Eberhard Spittler | Report spam
Vor ein paar Wochen habe ich MediaMonkey installiert (Windows 2000) und
AntiVir hat nicht gemeckert. Seit dieser Zeit kriege ich aber regelmàßig
Warnmeldungen vom Mailer meines Netzbetreibers, daß der Spamfilter
anderer(!) Nutzer Nachrichten von mir zurückgewiesen hàtte; den Betreffs
nach hat es sich um typische Spams gehandelt.

Erst habe ich das nicht ernst genommen (eine Fàlschung unterstellt),
dann aber doch den Netzbetreiber (M"net) kontaktiert, welcher mir die
Echtheit bestàtigt hat.

Als nàchstes hat sich die Frage gestellt, welches meiner Systeme (alle
hinter NAT-Gateway; Linux, Windows, MacOS, AmigaOS) der Schuldige sein
könnte; in dieser Frage kam ich keinen Schritt weiter. Vor 2 Tagen (und
damit einige AntiVir-Aktualisierungen spàter) stöberte ich in einem
temp-Verzeichnis mit Installationspaketen für Windows. Da schlug AntiVir
an und benannte MediaMonkey_Setup_2_5_5.exe als TR/Agent.58675 verseucht.

Die Installationsdatei habe ich sofort in die Quarantàne gesteckt (statt
in's Archiv, wo sie hinsollte), aber die SMTP-Spamschleuder ist schon
aktiv. Wie finde ich die und wie werde ich die los?




Eberhard Spittler
[ Spàmm geht in's Nirwana, Adresse funktioniert aber ]
 

Lesen sie die antworten

#1 Juergen Ilse
26/10/2007 - 11:48 | Warnen spam
Hallo,

Eberhard Spittler wrote:
Vor ein paar Wochen habe ich MediaMonkey installiert (Windows 2000) und
AntiVir hat nicht gemeckert.



Virenscanner koennen nur Schaedlinge erkennen, die "hinreichend alt"
(oder "hinreichend alten" Schaedlingen hinreichend aehnlich) sind.
Moeglicherweise hat Antivir den einfach *noch* nicht gekannt, und
spaeter wurde er vielleicht nicht erkannt, weil der Schaedling bei
der Kompromittierung des Systems auch Aenderungen vorgenommen hat,
die Antivir (zumindest bezogen auf diesen Schaedling) "blind" machten.
Ein kompromittiertes System liefert keine vertrauenswuerdigen Daten
mehr (das betrifft *auch* die Ergebnisse eines auf dem kompromittierten
System ausgefuehrten Virenscanners).

Seit dieser Zeit kriege ich aber regelmàßig
Warnmeldungen vom Mailer meines Netzbetreibers, daß der Spamfilter
anderer(!) Nutzer Nachrichten von mir zurückgewiesen hàtte; den Betreffs
nach hat es sich um typische Spams gehandelt.



Das ist wohl mindestens eienr deiner Rechner kompromittiert ...

Als nàchstes hat sich die Frage gestellt, welches meiner Systeme (alle
hinter NAT-Gateway; Linux, Windows, MacOS, AmigaOS) der Schuldige sein
könnte; in dieser Frage kam ich keinen Schritt weiter. Vor 2 Tagen (und
damit einige AntiVir-Aktualisierungen spàter) stöberte ich in einem
temp-Verzeichnis mit Installationspaketen für Windows. Da schlug AntiVir
an und benannte MediaMonkey_Setup_2_5_5.exe als TR/Agent.58675 verseucht.



Klingt nach "herzlichen Glueckwunsch, sie haben eine Windows-Neuinstallation
gewonnen!" ...

Die Installationsdatei habe ich sofort in die Quarantàne gesteckt (statt
in's Archiv, wo sie hinsollte), aber die SMTP-Spamschleuder ist schon
aktiv. Wie finde ich die und wie werde ich die los?



Gar nicht (ausser durch Neuinstallation). Ich vermute mal, dass es sich
bei "TR/Agent.58675" um einen sogenannten "Downloader" handelt, der von
*irgendwoher* *irgend* *welchen* Schadcode nachlaedt und installiert.
Da du keine Ahnung hast, was denn genau nachgeladen und welche Aenderungen
ggfs. von dem nachgeladenen Code an deinem System alles vorgenommen wurden,
wird dir nicht viel anderes als eine komplette Neuinstallation uebrig
bleiben, um wieder zu einem "definierten Systemzustand zu kommen" (und
nein, eine "Reparatur-Installation", die "Aktivierung eines Wiederher-
stellungspunktes" oder "Windows noch einmal drueberinstallieren ohne den
bisherigen Platteninhalt vorher platt zu machen" sind in einem solchen
Fall keine wirklich zuverlaessigen Methoden zur "Reinigung", ebensowenig
wie irgend welche ominoesen "Saeuberungstools").

Tschuess,
Juergen Ilse ()
Ein Domainname (auch wenn er Teil einer Mailadresse ist) ist nur ein Name,
nicht mehr und nicht weniger ...

Ähnliche fragen