Das ist ja scheiße
Aber ich verteche nicht warum manche Leute keine Win.. update machen,das win... sicherheitsloch hat das weiß jeder,der Funlove 32 ist ein Outlook Exrpess sicherheitsloch .Win..update hat schon seit 2-3 woche daruf hingewiesen..........................
Der Wurm hat außerdem einen alten bekannten Virus mit im Gepäck.
Der W32/Funlove wird als WIN[xxx].TMP, WINA[xxx].TMP und AAVAR.pif in das Systemverzeichnis (%SysDir%) erstellt und sofort ausgeführt. Er infiziert PE-Executable Dateien.
Damit der Wurm bei jedem Windows Neustart ausgeführt wird, erstellt er folgende Autorun-Einträge in der Registry:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run]
@="C:\\[Pfad in dem das Attachment ausgeführt wurde]
\\WINB[xxx].PIF"
"WIN5225"="C:\\WINDOWS\\SYSTEM\\WIN[xxxx].pif"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RunServices]
@="C:\\[Pfad in dem das Attachment ausgeführt wurde]
\\WINB[xxx].PIF"
"WIN5225"="C:\\WINDOWS\\SYSTEM\\WIN[xxxx].pif"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run]
@="C:\\[Pfad in dem das Attachment ausgeführt wurde]
\\WINB[xxx].PIF"
"WIN5225"="C:\\WINDOWS\\SYSTEM\\WIN[xxxx].pif"
Nach einem Neustart von Windows wird folgende Meldung sichtbar:
Des Wurm beginnt spätestens nach einem Neustart von Windows Dateien auf der Festplatte zu löschen. Windows läßt sich dann nicht mehr vollständig starten.
symantec sagt verweist auf ein tool, welches den funlove.4099 entfernt aber NICHT funlove.in.t
die links dazu sind
http://www.sysinternals.com/ntw2k/fr...fsdospro.shtml
oder
http://www.winternals.com/products/r...fsdospro.shtml
das tool nennt sich 'FixFun.exe' und repariert ledilicht die '.4099' variante aber nicht die '.int'.
> Those files cannot be repaired, and they must be deleted.<
soll also heissen, dass die dateien nicht repariert sondern nur gelöscht werden können.
fixfun.exe macht das folgende:
- scannt die lokalen festplatten auf eine infektion mit w32.funlove.4099 und 'repariert' soweit möglich (scheint wohl nicht immer möglich zu sein)
- wenn das system infiziert ist wird ein ordner angelegt entsprechend dem namen der datei, welche den virencode enthält (flcss.exe) und zwar überall dort, wo der code gefunden worden ist.
- das tool ist nicht in der lage den virus aus dem speicher zu entfernen, daher MUSS UNBEDINGT mit einer sauberen bootdiskett gebootet werden.
>There has been some confusion in the past regarding the purpose of this "inoculation directory." Please note that the creation of the Flcss.exe directory will only stop the virus from running on the local machine. This is the only purpose of this inoculation. It will not stop the machine from becoming infected across the network.<
das macht mich jetzt auch ein wenig kunfus, versuche aber trotzdem die aussage die hier hinter steckt zu deuten: der grund für das anlegen der ordner ist den virus daran zu hindern sich erneut auf dem pc zu verbreiten, infektionen übers netzwerk werden dadurch nicht unterbunden.
also:
- das tool runterladen und die datei fixfun.exe auf einer diskette speichern.
- system über startdiskette booten
- wenn glücklich am prompt angekommen startdiskette raus und die fixfun.exe diskette rein.
- nach alter dos manier fix ein 'cd a:' getippt und enter (wenn deine bootdiskette nicht die deutsche tastatur enthält sollte der ':' beim 'grossen Ö' liegen)
- dann: 'fixfun /a > c:\funlog.txt' eingeben
(wenn immer noch keine deutsche tastatur vorhanden muss du die ganen / und > und \ die mühevoll zusammensuchen.)
- dann ist erst mah warten angesagt.
- wenn das tool durchgelaufen ist am prompt eingeben 'more < c:\funlog.txt' woraufhin die infos des scan angezeigt werden - über leertaste wird weitergeblättert. in den infos ist enthalten welche dateien repariert werden konnten und welche nicht. alles was nicht repariert werden konnte muss laut symantec dann vor dem nächsten booten 'ersetzt' werden.
hilft das weiter? scheint mann ja nicht so sonderlich einfach loszuwerden!
bitte schau hier rein da sind tools wie Live-Viren-Check u.w.m..
ich werde nachschauen wo der virus sich befindet (Einträge in der Registry)
bye muertos1