Viruswarnung! WICHTIG! Unbedingt lesen!

tja mein Freund hatte die Datei auch bekommen, dann fuhr ich voller Panik nach Hause und die Datei war tatsächlich auch in meinem Rechner, mir wurde nämlich auch gesagt, dass es ein Virus sei!!!... meine Güte :skept: aber jetzt ist ja alles klar :daumen:

@eddi

ich weiss nicht, aber so wie es aussieht scheinst du einem hoax( für die die nicht wissen, was das bedeutet [ich kenn das wort auch noch nicht so lang] es bedeutet eine falschmeldung eines angeblichen virusses) aufgesessen zu sein siehe hierzu:

http://www.tu-berlin.de/www/software/hoax/sulfnbk.shtml

Extra-Blatt (23.05.2001)
Hoax: SULFNBK.EXE
Die Datei gehört zu Windows, aber...
Eine Falschmeldung gefährdet die Existenz einer harmlosen Windows-Datei. Es wird behauptet, die Datei SULFNBK.EXE enthalte einen Virus und wenn man sie auf seinem Rechner findet, solle man sie löschen. Eine Anleitung, wie man die Datei finden und löschen kann, wird meist auch gleich mitgeliefert.

Davon muss dringend abgeraten werden!
Die Datei SULFNBK.EXE gehört zumindest ab Windows 98 zu Windows (98/ME). Ihre einzige von Microsoft dokumentierte Funktion ist die Wiederherstellung langer Dateinamen nach einer (missglückten) Deinstallation von Windows 98/ME. Siehe Artikel D36301 in der dt. Microsoft Knowledge Base. Die Buchstaben im Dateinamen SULFNBK.EXE stehen mithin für "SetUp", "Long File Names", "BacKup".
Die Existenz dieser Datei auf einem Rechner ist kein Indiz für eine Virusinfektion!
Ähnliche Fälle, nur andere Dateinamen: JDBGMGR.EXE, JDBMGR.EXE, SETDEBUG.EXE, UPWIZUN.EXE

Eine völlig andere Situation ergibt sich, wenn eine Datei dieses Namens per E-Mail eintrifft und dies hat wohl den Hoax ausgelöst.
Der Virus W32/Magistr (steht in der Liste aktueller Viren) infiziert Systemdateien (vor allem .EXE) und versendet diese dann per E-Mail. Dabei kopiert er das Original der Datei vorher in eine zweite Datei, deren Namen er modifiziert: Er ändert das letzte Zeichen des Namens, verringert den Zeichencode um 1. D.h. aus SULFNBK.EXE wird SULFNBJ.EXE, aus PSTORES.EXE wird PSTORER.EXE, aus CFGWIZ32.EXE wird CFGWIZ31.EXE usw. Er versendet jedoch die infizierte Datei mit dem Originalnamen. Die umbenannte Kopie ist ebenfalls infiziert.

Es ist wichtig, dass Sie den Unterschied zwischen diesen beiden Fällen verstehen.
Löschen Sie keinesfalls eine Datei SULFNBK.EXE, die Sie auf Ihrem Rechner finden, wenn nicht ein Virenscanner eine Infektion dieser Datei meldet.
Die Original-Datei ist ca. 44 KB gross, infizierte Versionen haben etwa 72 KB.

Wenn Sie die Datei bereits gelöscht haben, stellen Sie sie nur von der Original-Windows-CD wieder her. Beim Kopieren von einem anderen Rechner riskieren Sie, Ihren bislang virenfreien Rechner zu infizieren oder eine falsche Version der Datei zu kopieren (andere Windows-Version).
Wie das Wiederherstellen gelöschter Dateien im Allgemeinen geht, beschreibt Microsoft in der deutschen Knowledge Base im Artikel D35346. In der engl. Knowledge Base ist explizit der Fall SULFNBK.EXE beschrieben, im Artikel Q301316.
[ dt. Kurzanleitung f. Win98/ME, lokal ]
Wenn Sie sich die Wiederherstellung dieser Datei nicht zutrauen, lassen Sie sich helfen oder verzichten Sie auf die Wiederherstellung - Sie werden diese Datei in aller Regel nicht vermissen.

Einige Anwender berichten über ein Phänomen, das ihnen nach dem Löschen der SULFNBK.EXE beim Aufruf des Windows-Setups begegnete: Sie erhielten folgende Warnung angezeigt:

Für Dateinamen, die länger als 8 Zeichen sind, müssen kurze Dateinamen mit numerischen Erweiterungen erstellt werden können.
Aktivieren Sie diese Option und führen Sie Setup erneut aus.
Abhilfe schafft hier eine Änderung in der Registry, die ebenfalls in der dt. Microsoft Knowledge Base beschrieben ist, in Artikel D35119.

Fazit:
Es ist reiner Zufall, dass es eine so unwichtige Datei getroffen hat. Bei dem gegebenen Hintergrund der Entstehung dieses Hoax hätte es auch leicht eine weniger entbehrliche Datei erwischen können...

Leiten Sie diese Falschmeldung (Hoax) nicht weiter!

Infos zu diesem Hoax:
McAfee | Sophos | Symantec

Infos zu W32/Magistr.a:
CAI | F-Secure | Kaspersky AV/AVP | NAI/McAfee | Sophos | Symantec | Trend Micro


oder hier:
http://www.heise.de/newsticker/data/pab-31.05.01-000/

sulfnbk.exe ist kein Virus

Zurzeit macht ein E-Mail-Hoax die Runde, der vor dem angeblichen Virus sulfnbk.exe warnt – es handelt sich dabei allerdings um ein Windows-Systemprogramm. Der Hoax wurde erstmals im April dieses Jahres entdeckt, scheint sich aber erst jetzt in Deutschland massiv zu verbreiten. In der E-Mail heißt es, die Datei sulfnbk.exe würde am ersten Juni die Festplatte löschen.

Tatsächlich ist sulfnbk.exe ein Windows-Systemprogramm, das dazu dient, lange Dateinamen wiederherzustellen. Wer die Datei bereits gelöscht hat, kann sie mit SFC (unter Windows 98) oder MSConfig (Windows ME) aus den CAB-Dateien der Windows-Installations-CD wieder einspielen. (pab/c t)


ich meine ich kann mich ja zu irren, aber ich denke es ist ein hoax, denn die heise meldungen sind eigentlich ziemlich zuverlässig.

@eddi

dann hierzu noch kurz diese info:
http://de.bitdefender.com/virusi/virusi_descrieri.php?virus_id=125

Virus Info

Vor diesem Virus werden Sie im Moment nur durch ein BiDefender Produkt geschützt:

Win32.LovGate.G/H/J/K

Name: Win32.LovGate.G/H/J/K
Alias: I-Worm.Supnot
Typ: Massenmailer, in C++ geschrieben, mit AsPack komprimiert
Größe 13 Mai, 2003
Entdeckt: 13 Mai, 2003, 16:20 (GMT+2)
Verbreigung: Hoch
Schaden: Mittel
ITW: Ja

Die neuen Varsionen des Win32.LovGate Wurms sind hinischtlich ihrer Funktionalität und dem Code ähnlich der vorigen Versionen, haben jedoch neue Merkmale:

1) Der Wurm beendet alle Prozesse innerhalb eines Antivrenprogramms. Der Wurm vergleicht die Namen aller laufenden Prozesse mit folgender Liste:

KV
KAV
Duba
NAV
kill
RavMon.exe
Rfw.exe
Gate
McAfee
Symantec
SkyNet
rising

Falls eine Übereinstimmung gefunden wird, beeendet der Wurm den Prozess.

2) Der Wurm kopiert sich unter einem willkürlichen Namen und doppelter Erweiterung in einen temporären Ordner und gibt ihn mit dem Namen "GAME" frei. Alle Dateien haben eine ".exe" Erweiterung, es gibt jedoch Systeme, die diese Erweiterung nicht anzeigen. Stattdessen wird eine falsche Erweiterung angezeigt: ".txt", ".jpg", ".mp3", ".htm", ".avi", ".doc", ".gif", ".dat".


3) Der Wurm versucht die Ausführung der Datei zu übernehmen, indem er den Registry Schlüssel HKEY_CLASSES_ROOT\\\\\\\\\\\\\\\\exefile\\\\\\\\\\\\\\\\shell\\\\\\\\\\\\\\\\open\\\\\\\\\\\\\\\\command überschreibt. Wenn eine Datei ausgeführt wird, übernimmt der Wurm die Kontrolle und infiziert sie.

4) Diese Wurmversion ist ein Fast Infector, da er die Datei"Drwtsn16.exe" in dem Windowsordner erstellt und diese vervielfältigt. Der vervielfältigte Prozess infiziert die ausführbaren Dateien, indem er die FindFirst/FindNext Technologie benutzt.


5) Der Wurm verwendet eine übliche Infizierungstechnik, vor allem für höhere Programmiersprachen: eine bestimmte temporäre Datei wird erstellt, danach ein Loader, die Originaldatei und der Wurm werden in die temporäre Datei geschrieben.
Nachdem (und wenn) der Infizierungsprozess erfolgreich abgeschlossen wird, löscht der Wurm die Originaldatei und ersetzt sie mit der infizierten Datei.

6) Der Wurm versucht Dateien zu finden, die mit der *.ht* Wildcard übereinstimmen und sucht nach E-Mail Adressen. Der Wurm fälscht die E-Mail Nachricht, so dass diese wie eine Antwort aussieht.

Danach fügt er eine Kopie von sich unter einem der folgenden Namen:

"I am For u.doc.exe",
"Britney spears nude.exe.txt.exe",
"joke.pif",
"DSL Modem Uncapper.rar.exe",
"Industry Giant II.exe",
"StarWars2 - CloneAttack.rm.scr",
"dreamweaver MX (crack).exe",
"Shakira.zip.exe",
"SETUP.EXE",
"Macromedia Flash.scr",
"How to Crack all gamez.exe",
"Me_nude.AVI.pif",
"s3msong.MP3.pif",
"Deutsch BloodPatch!.exe",
"Sex in Office.rm.scr",
"the hardcore game-.pif"

7) Der Wurm sendet eine infizierte Nachricht an die Adressen, die er im Posteingang findet. Die Nachricht enthält folgende Verse:

If you can keep your head when all about you
Are losing theirs and blaming it on you;
If you can trust yourself when all men doubt you,
But make allowance for their doubting too;
If you can wait and not be tired by waiting,
Or, being lied about,don\\\\\\\\\\\\\\\ t deal in lies,
Or, being hated, don\\\\\\\\\\\\\\\ t give way to hating,
And yet don\\\\\\\\\\\\\\\ t look too good, nor talk too wise;
... ... more look to the attachment.

Entfernung
------
Benutzen Sie das kostenlose BitDefender Removal Tool.


Analyiert von
Mihai Chiriac
BitDefender Virus Researcher

@eddi

oder dashier:
http://sophos.de/virusinfo/analyses/w32lovgatee.html

W32/Lovgate-E
Alias
Worm.lovegate.f, W32/LovGate.F-m, I-Worm.LovGate.f, W32/Lovegate.g

Typ
Win32-Wurm

Erkennung
Wird seit März 2003 von Sophos Anti-Virus erkannt.

Kommentar
W32/Lovgate-E ist ein Mass-Mailing-Wurm und ein Backdoor-Trojaner. Diese Variante aus der Lovgate-Familie funktioniert nur auf Windows NT/2000/XP Betriebssystemen.

W32/Lovgate-E hat zwei Mass-Mailing-Routinen. Die erste sendet eine E-Mail mit den folgenden Merkmalen an E-Mail-Adressen aus ungelesenen E-Mails in den Outlook-Ordnern des infizierten Anwenders:

Betreffzeile: Re: <Betreffzeile der ungelesenen E-Mail>
Text:
<Originale ungelesene E-Mail>

If you can keep your head when all about you
Are losing theirs and blaming it on you;
If you can trust yourself when all men doubt you,
But make allowance for their doubting too;
If you can wait and not be tired by waiting,
Or, being lied about,don t deal in lies,
Or, being hated, don t give way to hating,
And yet don t look too good, nor talk too wise;
... ... more look to the attachment.

Attachment: eines der folgenden

Britney spears nude.exe.txt.exe
Deutsch BloodPatch!.exe
dreamweaver MX (crack).exe
DSL Modem Uncapper.rar.exe
How to Crack all gamez.exe
I am For u.doc.exe
Industry Giant II.exe
joke.pif
Macromedia Flash.scr
Me_nude.AVI.pif
s3msong.MP3.pif
SETUP.EXE
Sex in Office.rm.scr
Shakira.zip.exe
StarWars2 - CloneAttack.rm.scr
the hardcore game-.pif

Die zweite Massmailing-Routine sendet E-Mails an Adressen aus Dateien mit Erweiterungen, die mit den Zeichen HT beginnen, z. B. HTM- oder HTML-Dateien. Diese E-Mails haben eine Kombination aus Betreffzeile, Text und Name des Attachments aus der folgenden Liste:

Betreffzeilen:

See the attachement
Hi
Hi Dear
Attached one gift for u..
Help
Great
for you
Last Update
Let s Laugh
Reply to this!

Texte:

Send me your comments...
Patrick Ewing will give Knick fans something to cheer about Friday night.

Adult content!!! Use with parental advisory.

It s the long-awaited film version of the Broadway hit. Set in the roaring 20 s,
this is the story of Chicago chorus girl Roxie Hart (Zellwger), who shoots her
unfaithful lover (West).

This message was created automatically by mail delivery software (Exim).

Send reply if you want to be offical beta tester.

Tiger Woods had two eagles Friday during his victory over Stephen Leaney.(AP Photo/Denis Poroy)

This is the last cumulative update.

Copy of your message,including all the headers is attached.

For further assistance, please contact!

Attachment:

About_Me.txt.pif
Doom3 Preview!!!.exe
driver.exe
enjoy.exe
images.pif
interesting.exe
Pics.ZIP.scr
README.TXT.pif
Source.exe
YOU_are_FAT!.TXT.pif

W32/Lovgate-E kopiert sich in den Windows-Systemordner mit den folgenden Dateinamen:

iexplore.exe
kernel66.dll
ravmond.exe
windriver.exe
wingate.exe
winhelp.exe
winrpc.exe

Zusätzlich werden drei identische DLL-Dateien (ily668.dll, task688.dll und reg678.dll) in den Windows-Systemordner kopiert. Diese DLL-Dateien sind eine Komponente der Backdoor-Funktion dieses Wurms und werden als W32/Lovgate-E erkannt.

Es werden folgende Registrierungseinträge erstellt:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Program in Windows = <Systemordner>\iexplore.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Remote Procedure Call Locator = Rundll32.exe reg678.dll ondll_reg

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Wingate initialise = <Systemordner>\wingate.exe -remoteshell

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
WinHelp = <Systemordnerr>\Winhelp.exe

HKCR\txtfile\shell\open\command\Default = winrpc.exe %1

Durch den letzten dieser Registrierungseinträge wird der Wurm gestartet, sobald eine Textdatei geöffnet wird.

Der Wurm verbreitet sich über das LAN, indem er sich in Netzwerkfreigaben mit den folgenden Dateinamen kopiert:

100 free essays school.pif
Age of empires 2 crack.exe
AN-YOU-SUCK-IT.txt.pif
Are you looking for Love.doc.exe
autoexec.bat
CloneCD + crack.exe
How To Hack Websites.exe
Mefia Trainer!!!.exe
MoviezChannelsInstaler.exe
MSN Password Hacker and Stealer.exe
Panda Titanium Crack.zip.exe
Sex_For_You_Life.JPG.pif
SIMS FullDownloader.zip.exe
Star Wars II Movie Full Downloader.exe
The world of lovers.txt.exe
Winrar + crack.exe

W32/Lovgate-E versucht, Administrator-Zugriff auf Rechner im LAN zu erhalten, indem er das Administrator-Kennwort mit einer Liste der häufigsten und offensichtlichsten Kennwörter testet. Wenn er Administrator-Zugriff erhalten hat, wird der Wurm in den Systemordner mit dem Dateinamen NetServices.exe kopiert und wird als Dienst mit dem Namen "Microsoft Network Firewall Services" gestartet.

Auf dem lokalen Computer versucht der Wurm, sich als Dienst mit dem Namen "Windows Management Instrumentation Driver Extension" zu installieren. Die von dem Wurm abgelegte DLL wird verwendet, um einen Dienst namens "NetMeeting Remote Desktop (RPC) Sharing" zu starten.


Wiederherstellung
Lesen Sie bitte die Hinweise zum Entfernen von Würmern.
Windows NT/2000/XP

Unter Windows NT/2000/XP müssen Sie die folgenden Registrierungseinträge löschen. Unter Windows 95/98/Me ist das Entfernen dieses Schlüssels optional.

Klicken Sie in der Taskleiste auf Start|Ausführen. Geben Sie "Regedit" ein und drücken Sie Enter. Es öffnet sich der Registrierungseditor.

Bevor Sie die Registrierung verändern, sollten Sie ein Backup erstellen. Klicken Sie im Menü "Registrierung" auf "Registrierungsdatei exportieren", wählen Sie als Exportbereich "Alles" und speichern Sie Ihre Registrierung als Backup.


Suchen Sie unter HKEY_LOCAL_MACHINE die Einträge:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Program in Windows = <System-Ordner>\iexplore.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Remote Procedure Call Locator = Rundll32.exe reg678.dll ondll_reg

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Wingate initialise = <System-Ordner>\wingate.exe -remoteshell

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
WinHelp = <System-Ordner>\Winhelp.exe

und löschen Sie diese, sofern sie existieren.

Suchen Sie unter HKEY_CLASSES_ROOT den Eintrag:

HKCR\txtfile\shell\open\command\(Default)

Ändern Sie den Registrierungswert um in "notepad.exe %1"

Ändern Sie sonst nichts.

Schließen Sie den Registrierungseditor.

@eddi

danke nochmal für die sms und die lieben geburtstagswünsche
:remybussi:, tja, viren sind schon lästig. aber dafür haben wir ja firewalls und antiviren programme