Antworten und Tipps zur Frage

Skype-Frage
31

Hilfe. Alle meine Browser gehen nicht mehr. Habe mir eben auf einer Seite den Virus EXP/Pidief.Gi eingefangen. Antivir hat es gemeldet und ich habe gelöscht. Was nun?

Frage von bbweb (15.12.2009 | 14:28)
Antwort wurde versendet

Der/die Fragesteller(in) wurde informiert, dass nach 90 Minuten noch keine Antwort vorlag und es wurde auf den Detaillink zum späteren Nachlesen der Ergänzungen verwiesen.

Antwort von hiogi (15.12.2009 | 16:44) und Bestätigung von hiogi (15.12.2009 | 16:44)
Bewertung: positiv
Kommentar: 5 Stunden hat mich das Teil an Zeit gekostet. Am Ende habe ich die Systemwiederherstellung vom Vortag genommen und Firefox neu installiert, sowie Adobe und den IE. Nun läuft es wieder.

Ergänzungen

  1. HannesB schrieb am (15.12.2009 | 14:30):
    Das ist doch sicher ein Vorwand, um die Auszahlungen zu verzögern ;-)) Verstoß melden
  2. HannesB schrieb am (15.12.2009 | 14:37):
    Puuh, da steht viel im Google dazu. Statt "löschen" ist wohl immer besser "in Quarantäne verschieben". Aber dazu ist's jetzt ja wohl zu spät. Verstoß melden
  3. Clara schrieb am (15.12.2009 | 14:39):
    Das ist ein Fall für hansi, würd ich sagen.
    Björn, nimm doch einfach chris' Apple zum Surfen. Dann passiert Dir sowas nicht. ^^ Verstoß melden
  4. HannesB schrieb am (15.12.2009 | 14:40):
    Hallo,

    EXP/Pidief.GI scheint eine neue Variante eines PDF-Exploits zu sein. Es nutzt Sicherheitslücken zumindest in älteren Versionen des Adobe Reader aus, insbesondere bei dort aktiviertem JavaScript. Der Exploit ist bei mir bei Aufruf dieser Seite: http://w*w.top40-charts.com/ in den Firefox Cache gelangt, der Zugriff wurde vom Antivir aber sofort gesperrt, habe nochmal den FF Cache scannen lassen, es wurde aber nichts mehr gefunden.

    Artikel über anscheinend ursprüngliche Variante:
    [ http://www.pcwelt.de/start/sicherheit/antivirus/news/146816/ pdf_exploit_geht_um/ ]

    Eine weitere Variante verbreitet sich über Email:
    [ http://www.pcwelt.de/start/sicherheit/virenticker/news/21072 66/vorgebliche-kreditkartenabrechnung-mit-pdf-exploit/ ] Verstoß melden
  5. bbweb schrieb am (15.12.2009 | 14:41):
    Bin jetzt mit opera mini über mein nokia online.maddin schickt mir jetzt per skype mal ne neue firefox.exe Verstoß melden
  6. HannesB schrieb am (15.12.2009 | 14:42):
    11.02.2008, 16:13 Uhr
    Autor: Frank Ziemann

    Trojanische Mail-Anhänge
    PDF-Exploit geht um

    Offenbar bereits seit einigen Wochen werden Mails Spam-artig verbreitet, die im Anhang speziell präparierte PDF-Dateien enthalten. Diese sollen eine erst kürzlich von Adobe gestopfte Schwachstelle im Adobe Reader ausnutzen.

    Ende letzter Woche hat Adobe die neue Version 8.1.2 seines kostenlosen PDF-Readers bereit gestellt. Wie inzwischen bekannt geworden ist, werden bereits seit etwa 20. Januar Spam-Mails verschickt, die präparierte PDF-Dateien enthalten. Auch Werbebanner auf Web-Seiten streuen solche PDF-Dateien. Diese sollen eine der von Adobe geschlossenen, aber nicht erwähnten Sicherheitslücken ausnutzen. Wie das Internet Storm Center berichtet, schleusen diese Dateien im Erfolgsfall ein Trojanisches Pferd ein.

    Die zuerst am 20. Januar in einem italienischen Web-Forum gemeldeten Exploit-Dateien sind so präpariert, dass sie einen Pufferüberlauf im Adobe Reader (bis Version 8.1.1) provozieren und ein Trojanisches Pferd aus der Familie "Zonebac" installieren. Auch ältere Versionen, etwa 7.x, des Adobe Readers sind anfällig. Der Zonebac-Schädling versucht Antivirus-Programme zu deaktivieren und manipuliert Suchergebnisse und Werbebanner.
    Am Freitag, den 8.Februar, hat das zu Verizon gehörende Sicherheitsunternehmen iDefense drei Sicherheitsmitteilungen veröffentlicht, aus denen etwas mehr zu den von Adobe gestopften Sicherheitslücken zu erfahren ist. Demnach sind die Schwachstellen bereit im Herbst 2007 von iDefense entdeckt worden. Sie betreffen den Umgang des Adobe Readers mit Javascript-Anweisungen und dessen Nutzung von Programmbibliotheken zur Verschlüsselung und Signaturüberprüfung.
    Die ersten der präparierten PDF-Dateien stammten von einem Server in den Niederlanden, der mittlerweile nicht mehr erreichbar ist. Antivirus-Hersteller haben seit der ISC-Meldung von Samstag die Erkennung der bekannten PDF-Dateien in ihren Produkten verbessert. Verstoß melden
  7. HannesB schrieb am (15.12.2009 | 14:44):
    Autor: Frank Ziemann

    VISA-Malware
    Vorgebliche Kreditkartenabrechnung mit PDF-Exploit

    Spam-artig verbreitete Mails, die vorgeblich von VISA stammen, sollen die Empfänger auf eine gefälschte Website locken. Dort erwartet sie statt einer Kartenabrechnung Malware im Doppelpack.
    Vorgebliche VISA-Mail
    Vorgebliche VISA-Mail
    Nach dem Online-Shopping zu Weihnachten kommt die Abrechnung für die Kreditkarte, das erscheint zunächst logisch. Aber ach, in der Mail heißt es, die Karte sei missbraucht worden. Der Link in der Mail führt zu einer Website, die der von VISA ähnelt. Dort gibt es dann eine EXE-Datei zum Download und eine PDF-Datei wird einem direkt nach geworfen.

    Die Mails werden mit einem Betreff wie "possible fraudulent transaction" und gefälschten Absenderangaben verschickt. Laut englischem Mail-Text habe sich heraus gestellt, dass die Kreditkarte an einem Geldautomaten ("ATM") in Weißrussland (Belarus) benutzt worden sei. Die Transaktion sei vorsichtshalber gestoppt worden. Der Empfänger möge doch den elektronischen Kreditkartenreport sorgfältig prüfen. Dazu ist ein personalisierter Link angegeben, dessen wahres Ziel vom angezeigten Link-Text abweicht.
    Imitation der VISA-Website
    Imitation der VISA-Website
    Der Link führt auf eine Imitation der VISA-Website, auf der man sich eine vorgebliche Kreditkartenabrechnung in Gestalt einer etwa 130 KB großen EXE-Datei namens "cardstatement.exe" herunter laden soll. Zugleich wird dem Besucher noch eine PDF-Datei aufgedrängt. Beide dienen dazu dem Opfer Trojanische Pferde unter zu schieben. Die EXE-Datei enthält einen Schädling aus der Zbot-Familie, die PDF-Datei Exploit-Code für Sicherheitslücken in nicht ganz aktuellen Versionen des Adobe Reader. Verstoß melden
  8. T0mm1 schrieb am (15.12.2009 | 14:58):
    http://www.mactechnews.de/news/index.aspx?id=145631

    Anwender sollten bis zum Erscheinen der Sicherheitsaktualisierungen die Web-Integration des Adobe-Reader ausschalten und nur Dokumente aus vertrauenswürdigen Quellen mit Acrobat oder dem Adobe Reader öffnen. Verstoß melden
  9. bbweb schrieb am (15.12.2009 | 15:00):
    Krass.pc neu gestartet.firefox neu installiert und ich bekomme immernoch den mozilla crash reporter und im ie bzw safari die datenausführungsverhunderung :( Verstoß melden
  10. Clara schrieb am (15.12.2009 | 15:03):
    Hm ... hört sich nicht wirklich gut an. Verstoß melden
  11. bbweb schrieb am (15.12.2009 | 15:05):
    Findet sich denn kein patch oder eine datei die das repariert? So wird das nix mit den überweisungen ;) Verstoß melden
  12. bbweb schrieb am (15.12.2009 | 15:12):
    Gibt es von antivir eine hotline? Verstoß melden
  13. T0mm1 schrieb am (15.12.2009 | 15:19):
    AntiVir Hotline für Free-Anwneder:

    Deutschland: 0900 10 11 333 bei horrenden Gebühren von 1,99 EUR / min!

    http://www.avira.com/de/support/support_personal.html

    Bei Professional Produkten "wählen Sie einfach die exklusive Hotline-Nummer, die Sie in Ihrem Avira Supportvertrag finden!"

    http://www.avira.com/de/support/technischer_support.html Verstoß melden
  14. Clara schrieb am (15.12.2009 | 15:20):
    Gibt, es aber schweineteuer (1,99 €/Min. aus dem Festnetz): 0900 10 11 333.
    Für techn. Support gibt es ein Web-Formular, da brauchst Du aber die genaue Produktbezeichnung, Seriennummer und Sicherheitscode. (Also vermutlich nur für lizensierte Business-Produkte möglich.) Verstoß melden
  15. Clara schrieb am (15.12.2009 | 15:20):
    http://www.avira.com/de/support/technischer_support.html Verstoß melden
  16. Clara schrieb am (15.12.2009 | 15:21):
    Oh Mann ... ich bin langsam und zu spät. ^^ Verstoß melden
  17. bbweb schrieb am (15.12.2009 | 15:37):
    Ok.hatten nun den professional support an der strippe.brenne gerade eine boot cd Verstoß melden
  18. T0mm1 schrieb am (15.12.2009 | 15:51):
    Viel Erfolg! Verstoß melden
  19. hansalbers schrieb am (15.12.2009 | 16:57):
    Sie können auch mithilfe der Systemeigenschaften in der Systemsteuerung eine Ausnahme für das Programm hinzufügen. Gehen Sie hierzu folgendermaßen vor:

    1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie sysdm.cpl ein, und klicken Sie dann auf OK.
    2. Klicken Sie auf die Registerkarte Erweitert, klicken Sie auf Leistung und anschließend auf Einstellungen.
    3. Klicken Sie in Systemleistungsoptionen auf die Registerkarte Datenausführungsverhinderung, und klicken Sie auf Hinzufügen.
    4. Suchen Sie im Dialogfeld Öffnen nach dem Programm und klicken Sie dann darauf.
    5. Klicken Sie auf Öffnen, klicken Sie auf Übernehmen, und klicken Sie anschließend auf OK. Klicken Sie auf OK, wenn Sie dazu aufgefordert werden, den Computer neu zu starten.

    http://support.microsoft.com/kb/875351/de Verstoß melden
  20. bbweb schrieb am (15.12.2009 | 17:48):
    Hi hansi,da kann man dann den ie auswählen.habe nun mal die browser und einiges anderes deinstalliert.reboote gerade und da meldet das ding mgkuhawgi.exe kann nicht ausgeführt werden.nun hängt mein rechner.grrr Verstoß melden
  21. T0mm1 schrieb am (15.12.2009 | 17:51):
    Backup einspielen^^ Es wäre alles so einfach :D Verstoß melden
  22. bbweb schrieb am (15.12.2009 | 17:57):
    Ah.das wäre auch noch ne idee.mal gucken welchen herstellungszeitpunkt ich finden kann Verstoß melden
  23. T0mm1 schrieb am (15.12.2009 | 18:02):
    http://www.apple.com/de/macosx/what-is-macosx/time-machine.h tml :)
    *Salz in die Wunde streu* Verstoß melden
  24. hansalbers schrieb am (15.12.2009 | 20:35):
    http://www.google.de/#hl=de&q=mgkuhawgi.exe+&meta=&aq=f&oq=m gkuhawgi.exe+&fp=6e1a413bb204dd20 Verstoß melden
  25. hansalbers schrieb am (15.12.2009 | 20:36):
    Wenn Du kein Backup findest, starte mal im abgesicherten Modus. Ich würd dann mal die Registrierung nach mgkuhawgi.exe durchsuchen und alle gefundenen Einträge löschen. Verstoß melden
  26. bbweb schrieb am (16.12.2009 | 12:38):
    Systemwiederherstellung hat funktioniert, obwohl Windows mit nach dem Hochfahren sagte: Keine Änderungen vorgenommen. Komisch. Egal. Profil wiederherstellen von Firefox war auch so ein Akt. Wichtiger Tipp: Immer den ganzen Profil-Ordner mitkopieren C:\Dokumente und Einstellungen\Nutzer\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles

    und zunächst nur die signons3.txt und key3.db in das neue Profil kopieren, da sich die signons.sqlite alleine wiederherstellt. MEhr hier: http://support.mozilla.com/en-US/kb/Profiles?bl=n&s=select%2 0a%20profile Verstoß melden
  27. bbweb schrieb am (16.12.2009 | 12:39):
    @Hansi 25.: ich habe sogar auf Linux mit einer Bootsequenz über das Bereinigungs-Tool von antivir gestartet: nix Verstoß melden
  28. hansalbers schrieb am (16.12.2009 | 12:45):
    Du solltest die Registry ja auch von Hand durchsuchen.

    Zu 26: Da gibt es FEBE und Backup-Fox - kann ich sehr empfehlen.

    Sichert alle Daten, Addons und Erweiterungen.

    https://addons.mozilla.org/de/firefox/addon/2109
    http://backupfox.softonic.de/ Verstoß melden
  29. T0mm1 schrieb am (16.12.2009 | 15:49):
    Da freut es einen immer, solche Probleme nicht zu haben :D
    Sollen sie doch alle lästern :) Verstoß melden
  30. hansalbers schrieb am (16.12.2009 | 15:50):
    Think different. Verstoß melden
  31. Clara schrieb am (16.12.2009 | 15:52):
    Yeah! :)

    http://www.hiogi.de/community/buttonDetails/Think+different% 21/ Verstoß melden

Ergänzung schreiben:

Verwandte Fragen

Zugeordnetes Thema:
, , , ,
Spiegel Stern Welt PC Welt Handelsbaltt Hamburger Abendblatt Deutsche Startups Giga

loading...