http://forum.geizhals.at/feed.jsp?id=43906 Geizhals-Forum http://forum.geizhals.at/t43906,214942.html#214942 Wir hatten den Badtrans auf einer NT4 Maschine, ist mit einer E-Mail in Outlook Express gekommen und wurden natürlich sofort ausgeführt. Endung .pif<br><br>Erkannt wurde er durch Norton Antivirus2002 mit heutigem Virenupdate.<br><br>Es wurden die Systemdateien? kernel32.exe? (ist doch eigenlich eine .dll) und kdll.dll (ist eine Systemdatei) befallen.<br>Habe zuerst versucht mit der NT-CD eine Notoperation durchzuführen (alle geänderten Systemdateien wiederherstellen) hat nix ge<i>pfunziwunzifunztatatut</i>.<br>Habe dann bei laufendem System via Netzwerk die Dateien gelöscht (gottseidank kein Zugriff) und von der NT-CD entpackt und wiederhergestellt.<br><br>Jetzt ist das Ding virenfrei und der Virus ist noch nicht im Netzwerk.<br><br>War aber relativ riskant.<br>Aber nachdem bei uns derzeit die Viren nur so blühen (Magistr...) war´s schon fast wurscht denn ich habe sowieso schon die Virenhölle.<br><br>ich leide mit dir<br/> Tue, 27 Nov 2001 16:16:26 GMT http://forum.geizhals.at/t43906,214942.html#214942 pope 2001-11-27T16:16:26Z http://forum.geizhals.at/t43906,214794.html#214794 wenn jemand etwas darüber sagen kann, bitte unbedingt posten, wir kämpfen gerade mit diesem virus in unserem netzwerk.<br><br>er erzeugt bei jedem systemstart ein neues .eml file in ALLEN ordnern mit dem inhalt: --====_ABC0987654321DEF_====-- <br><br>auf allen maschinen ist ein upgedateter norton av drauf und trotzdem breitet er sich im netzwerk aus und wird beim sytemscan aber nicht gefunden bzw. identifiziert.<br>der verdacht fiel schon auf nimda, laut der beschreibung von <a href="http://www.f-secure.com" rel="noopener" target="_blank">http:/<wbr/>/<wbr/>www.f-secure.com</a> , aber sicher sind wir nicht.<br>wir wären schon froh wenn wir wüßten womit wir es da zu tun haben.<br><br>thx tron <br><br/> Tue, 27 Nov 2001 12:29:33 GMT http://forum.geizhals.at/t43906,214794.html#214794 Tron 2001-11-27T12:29:33Z http://forum.geizhals.at/t43906,214419.html#214419 Wenn der Betreff der E-Mail nur aus "Re:&nbsp;&nbsp;&nbsp;&nbsp;" besteht dann ist es der neue W32.Badtrans. Ein Virus ist es auf jeden Fall, den ein File mit 2 Extensions ist schon sehr sehr verdächtig <img src="smile.gif" width="16" height="19" align="absmiddle" alt=":)"/> Am besten löschen bzw. ja nicht öffnen.<br><br><br>mfg<br><a href="http://www.schnaeppchenfuehrer.at/">Schnäppchenführer</a><br/> Mon, 26 Nov 2001 19:38:53 GMT http://forum.geizhals.at/t43906,214419.html#214419 Schnäppchenführer 2001-11-26T19:38:53Z http://forum.geizhals.at/t43906,214410.html#214410 Hi liebe Geizhälse!<br><br>Ich hab gerade ein komisches Email erhalten. Schaut Euch das mal genau an. Ich hab Euch bei einer verdächtigen Stelle ein Smily gesetzt. Was haltet Ihr davon?<br><br>lg<br>Campino<br><br>========================================================================<br>Content-Type: multipart/related;<br>type="multipart/alternative";<br>boundary="====_ABC1234567890DEF_===="<br>X-Priority: 3<br>X-MSMail-Priority: Normal<br>X-Unsent: 1<br><br>--====_ABC1234567890DEF_====<br>Content-Type: multipart/alternative;<br>boundary="====_ABC0987654321DEF_===="<br><br>--====_ABC0987654321DEF_====<br>Content-Type: text/html;<br>&nbsp;&nbsp;charset="iso-8859-1"<br>Content-Transfer-Encoding: quoted-printable<br><br><br>&lt;HTML&gt;<HEAD></HEAD>&lt;BODY bgColor=3D#ffffff&gt;<br>&lt;iframe src=3Dcid:EA4DMGBP9p height=3D0 width=3D0&gt;<br>&lt;/iframe&gt;&lt;/BODY&gt;&lt;/HTML&gt;<br>--====_ABC0987654321DEF_====--<br><br>--====_ABC1234567890DEF_====<br>Content-Type: audio/x-wav;<br>name="Card.DOC.pif" <img src="frage.gif" width="16" height="26" align="absmiddle" alt="?-)"/><br>Content-Transfer-Encoding: base64<br>Content-ID: <EA4DMGBP9p/><br><br>======================================================================== <br><br/> Mon, 26 Nov 2001 19:28:36 GMT http://forum.geizhals.at/t43906,214410.html#214410 Campino 2001-11-26T19:28:36Z