MIRC Virus?

Roman

CandyMan

Registered: Jun 2000
Location: Im schönen Kär..
Posts: 4079

08.05.2002 - 02:54

Hallo Leute

Ein freund hat mir gestern eine cracked/optimierte MIRC program geschickt, ich hab installiert und getestet.
jetzt schauts auf meinem PC ziemlich ******** aus. alle .jpg files sind aus .kpg.vbs umgetauft, also kann ichs nimmer aufmachen, folder options und preferences sind beim teufel, und aendern sich selbststaendig.
ich hab ein bissl im system rumgestaebert und hab ein file names "Loveletter_for_you.html und .txt gefunden das MIRC in mein Windows/System geschrieben hat.
habs schon geloescht, aber beim teufel ist immer noch alles.

sagts mir was... bin ziemlich ratlos

Roman

asgaard

@midgard

Registered: Sep 2000
Location: Bruck/Leitha
Posts: 3299

08.05.2002 - 03:46

es lebe format c

Roman

CandyMan

Registered: Jun 2000
Location: Im schönen Kär..
Posts: 4079

08.05.2002 - 06:38

oh you god damn motherfucking worm....

schauts das mal an...

Zitat
After that the worm creates an HTML file called "LOVE-LETTER-FOR-YOU.HTM" to the Windows System directory. This file contains the worm and it will be sent using mIRC whenever another person joins an IRC channel where the infected user currently is. To accomplish this the worm replaces the "script.ini" file from the mIRC installation directory.

haltest die augen offen @ all...

Loveletter.vbs

EsCuLAp

Socken Schatzmeister

Registered: Feb 2001
Location: Wien
Posts: 1551

08.05.2002 - 09:24

Zitat von Roman
...and it will be sent using mIRC whenever another person joins an IRC channel where the infected user currently is.

wie soll das gehn? ich wunder mich, dass user immer noch so unachtsam mit ihren systemen umgehen... dcc auto-accept natürlich nicht enabled, da kommt dann nur mehr das was man selbst auch kriegen will

und wer von sich aus files öffnet/installiert ohne vorher zu scannen, ist selbst schuld imo (nicht bös gemeint) - shitty is nur dann, wenn virenscanner nix erkennt

abhilfe... mal sehn...

more infos -> http://vil.mcafee.com/dispVirus.asp?virus_k=98617&

Bearbeitet von EsCuLAp am 08.05.2002, 09:26

Roman

CandyMan

Registered: Jun 2000
Location: Im schönen Kär..
Posts: 4079

08.05.2002 - 09:56

dcc auto-accept war off, so bloed bin ich ja wirklich nit

ich ahb den PC ueber nacht online gelassen, files laden. am morgen komm ich dran, Outlook ist offen, meine Firewall hat eine "Warning, someone with IP: xxx is trying to connect to your machine" etc etc etc, virus scanner hatte ich leider keinen laufen.
ich denk mal der hat sich ganz ruhig eingehackt... ich hab ja geschlafen, also firewall warnings warn eh fuer die katz weil ichs nicht gehoert hab... ansonsten haett ich sofort den PC ge-resetet...

EsCuLAp

Socken Schatzmeister

Registered: Feb 2001
Location: Wien
Posts: 1551

08.05.2002 - 10:39

fies

wenn die firewall warning anzeigt sollt sie doch eh gleich blocken? whatever jetzt isses eh schon passiert also braucht man über das "wie" im Moment eh nicht nachdenken... wie gehts mit dem removen voran? geht das überhaupt?

Roman

CandyMan

Registered: Jun 2000
Location: Im schönen Kär..
Posts: 4079

08.05.2002 - 10:49

.jpg's sind alle zu 100% tot, alles mit .jpg.vbs ueberschireben, no chance in hell...
.mp3's sind kopiert und als .mp3.vsb genannt, aber die echten gibts noch, habs auch schon gefunden... die werd ich mir dann runterbrennen.
.doc's und .txt's sind ein paar betroffen, aber nicht alle...? wtf? ich check das nicht, bin aber noch am probiern was ich da machen kann.

so far: 13,000+ files infected, 2 boot sectors infected...

windows geht normal zum starten, alle "existierenden" emails sind geloescht worden, Adressbuecher sind noch da, ich werds aber nicht backup'en, sondern mit der hand adressen rauschreiben...

momentan werd ich ziemlich nur .mp3's und ein paar wichtige programme / installationssoftwares auf CD brennen, halt nix was .jpg's oder system files zum tun hat

EsCuLAp

Socken Schatzmeister

Registered: Feb 2001
Location: Wien
Posts: 1551

08.05.2002 - 11:12

Zitat von Roman
.jpg's sind alle zu 100% tot, alles mit .jpg.vbs ueberschireben, no chance in hell...
.mp3's sind kopiert und als .mp3.vsb genannt, aber die echten gibts noch, habs auch schon gefunden... die werd ich mir dann runterbrennen.
.doc's und .txt's sind ein paar betroffen, aber nicht alle...? wtf? ich check das nicht, bin aber noch am probiern was ich da machen kann.

so far: 13,000+ files infected, 2 boot sectors infected...

windows geht normal zum starten, alle "existierenden" emails sind geloescht worden, Adressbuecher sind noch da, ich werds aber nicht backup'en, sondern mit der hand adressen rauschreiben...

momentan werd ich ziemlich nur .mp3's und ein paar wichtige programme / installationssoftwares auf CD brennen, halt nix was .jpg's oder system files zum tun hat

desastreus!!
ich versteh immer noch nicht wie du letztenendes infiziert wurdest. war jetzt im endeffekt eigenverschulden dabei oder nicht? weil laut erstem post hat sich das ja durch das Installieren einer IRC Software deines Freundes ergeben. Also ist es schon so, dass man sich davor am effektivsten dadurch schützt, dass man wie üblich keine Datei ohne vorherigem check anrührt.

Roman

CandyMan

Registered: Jun 2000
Location: Im schönen Kär..
Posts: 4079

08.05.2002 - 11:19

Nein, die software ist clean, bei mir sowohl auch bei ihm

ich bin zum schluss gekommen das ich gehackt worden bin....... meine firewall hat am morgen noch eine meldung gehabt... die ist drauf eingestellt einganz zu verweigern wenn ich nix tu.
aber da ich auch nicht am PC war konnte ich den IP nicht "registrieren" und somit bannen. ich denk mal der hat einfach rumgespielt bis er drin war, und hat mir das file ins C:/Windows gelegt, es ist NICHT normal durch MIRC gekommen (jedenfalls nicht in den default download folder), und nicht von meinem freund, hab beide files gescannt, nix gefunden...

der Virus war noch nicht fertig sich einzunisten, er braucht ein file names "windowsbugfix.exe" oder so (steht eh im link zur virusscanner infopage) und das muss installiert werden das er den PC total fertigmachen kann...

also eh noch ziemlich schwein gehabt, weiss gott was der tut wennst das e.xe file installierst!

Roman

CandyMan

Registered: Jun 2000
Location: Im schönen Kär..
Posts: 4079

08.05.2002 - 11:20

PS: 14,100+ files infected, 2 boot blocks, ~ 530,000 files scannded & OK

zankarne

Legend
no Custom User Text

Registered: Oct 2001
Location: back in austria
Posts: 4632

08.05.2002 - 12:44

Zitat von Roman
PS: 14,100+ files infected, 2 boot blocks, ~ 530,000 files scannded & OK

werdn ja immer mehr

btw. war das der freund von den blöddreinschau pix?

Roman

CandyMan

Registered: Jun 2000
Location: Im schönen Kär..
Posts: 4079

08.05.2002 - 13:27

17,771 files infected, 2 boot sectores, 670,000 files scanned.

Nein der freund in Bloedschaun thread ist ein anderer...
das MIRC program hab ich von einem Deutschen kumpel kriegt, aber das file ist sauber... also g0t hacked.

der freund von die Bloedschaun pics studiert in Ontario / Kanada, und ist fuer die sommerferien hier in .sg (familie wohn hier).
hat bald einen Electrical Engineering B.A.

zankarne

Legend
no Custom User Text

Registered: Oct 2001
Location: back in austria
Posts: 4632

08.05.2002 - 13:28

wtf is b.a.?

Roman

CandyMan

Registered: Jun 2000
Location: Im schönen Kär..
Posts: 4079

08.05.2002 - 13:52

BA ist ein Bachelors Degree...

Uni abschluss, Diplom Ingenieur etwas...

Darius

 Guru

Registered: Dec 2001
Location: Vienna
Posts: 2069

08.05.2002 - 21:43

FORMAT C:

Roman CandyMan Registered: Jun 2000 Location: Im schönen Kär.. Posts: 4079	08.05.2002 - 02:54 Hallo Leute Ein freund hat mir gestern eine cracked/optimierte MIRC program geschickt, ich hab installiert und getestet. jetzt schauts auf meinem PC ziemlich ******** aus. alle .jpg files sind aus .kpg.vbs umgetauft, also kann ichs nimmer aufmachen, folder options und preferences sind beim teufel, und aendern sich selbststaendig. ich hab ein bissl im system rumgestaebert und hab ein file names "Loveletter_for_you.html und .txt gefunden das MIRC in mein Windows/System geschrieben hat. habs schon geloescht, aber beim teufel ist immer noch alles. sagts mir was... bin ziemlich ratlos Roman
asgaard @midgard Registered: Sep 2000 Location: Bruck/Leitha Posts: 3299	08.05.2002 - 03:46 es lebe format c
Roman CandyMan Registered: Jun 2000 Location: Im schönen Kär.. Posts: 4079	08.05.2002 - 06:38 oh you god damn motherfucking worm.... schauts das mal an... Zitat After that the worm creates an HTML file called "LOVE-LETTER-FOR-YOU.HTM" to the Windows System directory. This file contains the worm and it will be sent using mIRC whenever another person joins an IRC channel where the infected user currently is. To accomplish this the worm replaces the "script.ini" file from the mIRC installation directory. haltest die augen offen @ all... Loveletter.vbs
EsCuLAp Socken Schatzmeister Registered: Feb 2001 Location: Wien Posts: 1551	08.05.2002 - 09:24 Zitat von Roman ...and it will be sent using mIRC whenever another person joins an IRC channel where the infected user currently is. wie soll das gehn? ich wunder mich, dass user immer noch so unachtsam mit ihren systemen umgehen... dcc auto-accept natürlich nicht enabled, da kommt dann nur mehr das was man selbst auch kriegen will und wer von sich aus files öffnet/installiert ohne vorher zu scannen, ist selbst schuld imo (nicht bös gemeint) - shitty is nur dann, wenn virenscanner nix erkennt abhilfe... mal sehn... more infos -> http://vil.mcafee.com/dispVirus.asp?virus_k=98617& Bearbeitet von EsCuLAp am 08.05.2002, 09:26
Roman CandyMan Registered: Jun 2000 Location: Im schönen Kär.. Posts: 4079	08.05.2002 - 09:56 dcc auto-accept war off, so bloed bin ich ja wirklich nit ich ahb den PC ueber nacht online gelassen, files laden. am morgen komm ich dran, Outlook ist offen, meine Firewall hat eine "Warning, someone with IP: xxx is trying to connect to your machine" etc etc etc, virus scanner hatte ich leider keinen laufen. ich denk mal der hat sich ganz ruhig eingehackt... ich hab ja geschlafen, also firewall warnings warn eh fuer die katz weil ichs nicht gehoert hab... ansonsten haett ich sofort den PC ge-resetet...
EsCuLAp Socken Schatzmeister Registered: Feb 2001 Location: Wien Posts: 1551	08.05.2002 - 10:39 fies wenn die firewall warning anzeigt sollt sie doch eh gleich blocken? whatever jetzt isses eh schon passiert also braucht man über das "wie" im Moment eh nicht nachdenken... wie gehts mit dem removen voran? geht das überhaupt?
Roman CandyMan Registered: Jun 2000 Location: Im schönen Kär.. Posts: 4079	08.05.2002 - 10:49 .jpg's sind alle zu 100% tot, alles mit .jpg.vbs ueberschireben, no chance in hell... .mp3's sind kopiert und als .mp3.vsb genannt, aber die echten gibts noch, habs auch schon gefunden... die werd ich mir dann runterbrennen. .doc's und .txt's sind ein paar betroffen, aber nicht alle...? wtf? ich check das nicht, bin aber noch am probiern was ich da machen kann. so far: 13,000+ files infected, 2 boot sectors infected... windows geht normal zum starten, alle "existierenden" emails sind geloescht worden, Adressbuecher sind noch da, ich werds aber nicht backup'en, sondern mit der hand adressen rauschreiben... momentan werd ich ziemlich nur .mp3's und ein paar wichtige programme / installationssoftwares auf CD brennen, halt nix was .jpg's oder system files zum tun hat
EsCuLAp Socken Schatzmeister Registered: Feb 2001 Location: Wien Posts: 1551	08.05.2002 - 11:12 Zitat von Roman .jpg's sind alle zu 100% tot, alles mit .jpg.vbs ueberschireben, no chance in hell... .mp3's sind kopiert und als .mp3.vsb genannt, aber die echten gibts noch, habs auch schon gefunden... die werd ich mir dann runterbrennen. .doc's und .txt's sind ein paar betroffen, aber nicht alle...? wtf? ich check das nicht, bin aber noch am probiern was ich da machen kann. so far: 13,000+ files infected, 2 boot sectors infected... windows geht normal zum starten, alle "existierenden" emails sind geloescht worden, Adressbuecher sind noch da, ich werds aber nicht backup'en, sondern mit der hand adressen rauschreiben... momentan werd ich ziemlich nur .mp3's und ein paar wichtige programme / installationssoftwares auf CD brennen, halt nix was .jpg's oder system files zum tun hat desastreus!! ich versteh immer noch nicht wie du letztenendes infiziert wurdest. war jetzt im endeffekt eigenverschulden dabei oder nicht? weil laut erstem post hat sich das ja durch das Installieren einer IRC Software deines Freundes ergeben. Also ist es schon so, dass man sich davor am effektivsten dadurch schützt, dass man wie üblich keine Datei ohne vorherigem check anrührt.
Roman CandyMan Registered: Jun 2000 Location: Im schönen Kär.. Posts: 4079	08.05.2002 - 11:19 Nein, die software ist clean, bei mir sowohl auch bei ihm ich bin zum schluss gekommen das ich gehackt worden bin....... meine firewall hat am morgen noch eine meldung gehabt... die ist drauf eingestellt einganz zu verweigern wenn ich nix tu. aber da ich auch nicht am PC war konnte ich den IP nicht "registrieren" und somit bannen. ich denk mal der hat einfach rumgespielt bis er drin war, und hat mir das file ins C:/Windows gelegt, es ist NICHT normal durch MIRC gekommen (jedenfalls nicht in den default download folder), und nicht von meinem freund, hab beide files gescannt, nix gefunden... der Virus war noch nicht fertig sich einzunisten, er braucht ein file names "windowsbugfix.exe" oder so (steht eh im link zur virusscanner infopage) und das muss installiert werden das er den PC total fertigmachen kann... also eh noch ziemlich schwein gehabt, weiss gott was der tut wennst das e.xe file installierst!
Roman CandyMan Registered: Jun 2000 Location: Im schönen Kär.. Posts: 4079	08.05.2002 - 11:20 PS: 14,100+ files infected, 2 boot blocks, ~ 530,000 files scannded & OK
zankarne Legend no Custom User Text Registered: Oct 2001 Location: back in austria Posts: 4632	08.05.2002 - 12:44 Zitat von Roman PS: 14,100+ files infected, 2 boot blocks, ~ 530,000 files scannded & OK werdn ja immer mehr btw. war das der freund von den blöddreinschau pix?
Roman CandyMan Registered: Jun 2000 Location: Im schönen Kär.. Posts: 4079	08.05.2002 - 13:27 17,771 files infected, 2 boot sectores, 670,000 files scanned. Nein der freund in Bloedschaun thread ist ein anderer... das MIRC program hab ich von einem Deutschen kumpel kriegt, aber das file ist sauber... also g0t hacked. der freund von die Bloedschaun pics studiert in Ontario / Kanada, und ist fuer die sommerferien hier in .sg (familie wohn hier). hat bald einen Electrical Engineering B.A.
zankarne Legend no Custom User Text Registered: Oct 2001 Location: back in austria Posts: 4632	08.05.2002 - 13:28 wtf is b.a.?
Roman CandyMan Registered: Jun 2000 Location: Im schönen Kär.. Posts: 4079	08.05.2002 - 13:52 BA ist ein Bachelors Degree... Uni abschluss, Diplom Ingenieur etwas...
Darius  Guru Registered: Dec 2001 Location: Vienna Posts: 2069	08.05.2002 - 21:43 FORMAT C:

MIRC Virus?

Forum Index > Software > Applications, Apps & Drivers

Roman

asgaard

Roman

EsCuLAp

Roman

EsCuLAp

Roman

EsCuLAp

Roman

Roman

zankarne

Roman

zankarne

Roman

Darius